don Lorenzo Simonelli 18‐19 ottobre 2018 Curia ... · I venerdì dell’Avvocatura 2018‐2019...

I venerdì dell’Avvocatura 2018‐2019 – don Simonelli ‐ La privacy (agg. 4 dicembre 2018)

I venerdì dell’Avvocatura 2018/2019

La privacy: tra norma europea e norma canonicaAnalisi dei casi più ricorrenti in parrocchia

(slides aggiornate al 4 dicembre 2018)

don Lorenzo Simonelli

18‐19 ottobre 2018Curia Arcivescovile

Piazza Fontana, 2 ‐ Milano

Arcidiocesi di Milano


SEZIONE I – Casistica e presentazione essenziale di parte della normativa

1. Casi concreti di ipotesi di raccolta e trattamento dei dati personali2. Nota interpretativa introduttiva3. Questione preliminare: due ordinamenti, due norme, un unico ente ecclesiastico4. Il Regolamento UE 2016/679 e il Decreto CEI 2018: come poterli applicare/osservare

contemporaneamente5. La struttura fondamentale della disciplina europea e canonica6. Tipologie di dati e di trattamento realizzate dall’ente ecclesiastico

SEZIONE II – Le Linee Guida della CEI (giugno 2018) e le risposte all’OGLR Lombardia7. Le precisazioni dell’Osservatorio Giuridico Legislativo Nazionale alle proposte di interpretazione

della normativa elaborato dall’Osservatorio Giuridico Legislativo Regionale8. Le (prime) linee guida dell’Osservatorio Giuridico Legislativo Nazionale9. Le informazioni da trasmettere all’Interessato per acquisire il suo Consenso informato10. Le Informazioni da trasmettere all’Interessato per permettergli di esercitare i propri diritti11. Le formule per esprimere il Consenso informato

N.B. Il bollino giallo in alto a destra indica una slide particolarmente significativa.

Sommario

2


SEZIONE I

Casistica e presentazione essenziale della normativa

ad uso delle parrocchie

(in queste slides non si tratta di alcuni istituti fondamentali della Riforma,

per es. il Registro del Trattamento, il Responsabile della protezione dei dati, il co‐titolare)

Sezione I – Casistica e presentazione essenziale della normativa ad uso delle parrocchie

3


Paragrafo I

Casi concreti di ipotesi di raccolta e trattamento

dei dati personali per finalità relative

alle «attività di religione o culto» e alle «attività diverse»

Casi concreti: quali norme devono essere osservate e come comportarsi

4

I venerdì dell’Avvocatura 2018‐2019 – don Simonelli ‐ La privacy (agg. 4 dicembre 2018) 5


Casi di raccolta e trattamento dei dati personali (e sensibili)

Si applica il Regolamento

UE

Si applica il Decreto CEI

2018

Serve il Consenso Serve l’Informativa o almeno una formula breve

in calce al modulo compilato dall’Interessato

per conferire i dati personali

Altra base giuridica che rende legittimo il trattamento quando non

è prescritto/dato il consenso dell’Interessato

1 Raccolta dei dati personali per lacompilazione dei Registri Canoniciin occasione della celebrazionedei sacramenti su richiestadall’Interessato (sono inclusianche i dati personali dei terzi cheintervengono nella celebrazionedel sacramento),

NO,ex artt. 9 e91RegolamentoUE 679/16

SI NO(serve il Consenso se i datisono comunicati all’esternodella Chiesa Cattolica;tuttavia tale comunicazionedei dati presenti nei RegistriCanonici non è consentitadall’ordinamento canonico)

Formula breve che segnalala normativa di riferimentoe che i dati non sarannocomunicati all’esterno.

Se si raccoglie il consensooccorre l’Informativa.

2 Conservazione dei dati personaliinseriti nei Registri Canonici(escludendo qualsiasicomunicazione all’esterno)qualora l’Interessato chieda laloro cancellazione e segua – perdecisione dell’Ordinario –l’annotazione della richiesta amargine dell’atto.


SI NO Art. 4, § 1, lett. c) «il trattamento ènecessario per l'esecuzione di uncompito di interesse pubblico oconnesso all'esercizio di pubblicipoteri di cui è investito il titolare deltrattamento» ed e), Decreto CEI2018 «Il trattamento è necessarioper il perseguimento del legittimointeresse del titolare del trattamentoo di terzi, […]».

3 Raccolta dei dati personali delnucleo familiare destinati acostituire l’anagrafe parrocchiale(limitando i dati raccolti a quellinecessari per identificare e darenotizie delle attività/iniziativepromosse dalla parrocchia cheinteressano i membri dellafamiglia).


SI NO(serve il Consenso se i datisono comunicati all’esterno)

Informativa



Casi di raccolta e trattamento dei dati personali (e sensibili)


UE


2018

Serve il Consenso Serve l’Informativa o almeno una formula breve in calce al

modulo compilato dall’Interessato per conferire i

dati personali

Altra base giuridica che rende legittimo il

trattamento quando non è prescritto/dato il consenso

dell’Interessato4 Mailing list parrocchiale costituita

dai dati personali acquisiti primadel 25 maggio 2018 ed utilizzataper inviare notizie, informazioni,comunicazioni e documentirelativi alle attività promosse dallaparrocchia.


SI NO(serve il Consenso se i dati sonocomunicati all’esterno)

Formula breve in calce alle mailinviate che indica la normativadi riferimento, che i dati nonsaranno comunicati all’esternoe la modalità per ottenere lacancellazione dei propri dati.

Se si raccoglie il Consensooccorre l’Informativa.

5 Raccolta dei dati personali(cognome, nome, telefonopersonale, mail personale,incarico ecclesiale) di coloro cheprestano servizio in parrocchia eloro utilizzo per elaborare unelenco o un albo o un annuario dadiffondere solo tra i membri deigruppi parrocchiali.


SI NO, purché l’elenco o l’albo ol’annuario sia destinato solo acoloro che prestano servizio inparrocchia

SI, se l’elenco o l’albo ol’annuario è diffuso ad extra (siacartaceo, sia online)

Informativa

6 Raccolta dei dati personali in vistadella pubblicazione on line (odiffusa con strumenti cartacei,per es. il bollettino) dell’elenco ditutti coloro che in parrocchiaprestano servizio assumendoruoli che hanno in sé una naturaledimensione pubblica (membriconsiglio pastorale parrocchiale,catechisti, educatori in oratorio,gruppo Caritas …).


SI NO, a condizione che non sianopubblicati telefono e mailpersonale (è possibilepubblicare cognome, nome,incarico, telefono e mailistituzionali riferiti allaparrocchia)

Informativa



0 Casi di raccolta e trattamento dei dati personali (e sensibili)


UE


2018


modulo compilato dall’Interessato per conferire

i dati personali



7 Raccolta dei dati personali deiminorenni in occasionedell’iscrizione al percorsodell’iniziazione cristiana e/ooratorio e/o percorsopreadolescenti e adolescenti(limitando i dati personali raccoltia quelli necessari per gestirel’attività).


SI NO(serve il Consenso se idati sono comunicatiall’esterno)

Informativa

8 Raccolta dei dati personali deiminorenni in occasionedell’iscrizione al grest (limitando idati personali raccolti a quellinecessari per gestire l’attività).


SI NO(serve il Consenso se idati sono comunicatiall’esterno)

Informativa

9 Pubblicazione delle foto e deivideo che ritraggono i minorenni.

SI SI SI(serve la sottoscrizionedi entrambi i genitori)

Informativa

10 Pubblicazione delle foto e deivideo che ritraggono imaggiorenni

SI SI SI Informativa





UE


2018


modulo compilato dall’Interessato per conferire i

dati personali



11 Raccolta dei dati personali inoccasione delle iscrizioni alleiniziative culturali, ricreative,turistiche, sportive …. – cioè leattività non riconducibili a quelledi religione o culto ex art. 16, lett.a), L. n. 222/85 – promosse dallaparrocchia o dalla diocesi(limitando i dati personali raccoltia quelli necessari per gestirel’attività).

SI SI NO(serve il Consenso se idati sono comunicatiall’esterno)

Informativa Art. 6, co. 1, lett. b) Regolamento UE«Il trattamento è necessarioall’esecuzione di un contratto di cuil’Interessato è parte o all’esecuzionedi misure precontrattuali adottate surichiesta dello stesso».

12 Raccolta dei dati personali inoccasione delle iscrizioni alleiniziative riconducibili alle attivitàdi religione o culto ex art. 16, lett.a), L. n. 222/85 – promosse dallaparrocchia o dalla diocesi(limitando i dati personali raccoltia quelli necessari per gestirel’attività).

NO SI NO(serve il Consenso se idati sono comunicatiall’esterno)

Informativa Art. 6, co. 1, lett. b) Regolamento UE«Il trattamento è necessarioall’esecuzione di un contratto di cuil’Interessato è parte o all’esecuzionedi misure precontrattuali adottate surichiesta dello stesso».

13 Trasmissione al MIUR, all’ATS, alComune dei dati dei bambiniiscritti alla scuola paritaria dellaparrocchia.

SI SI NO Art. 6, co. 1, lett. c) Regolamento UEIl trattamento è necessario peradempiere un obbligo legale al qualeè soggetto il titolare deltrattamento.





UE


2018


modulo compilato dall’Interessato per conferire

i dati personali



14 Trasmissione al Comune dei datianagrafici di una persona cheviene assistita dal Centro Caritasparrocchiale su richiesta(legittima) del Comune.

SI SI NO Art. 6, co. 1, lett. c) Regolamento UEIl trattamento è necessario peradempiere un obbligo legale alquale è soggetto il titolare deltrattamento.

15 Trasmissione all’ATS dell’elencodei bambini iscritti alla scuolaparitaria parrocchiale al fine diverificare l’adempimentodell’obbligo vaccinale.


16 Trasmissione alla pubblicaamministrazione (per es. SistemaSanitario Nazionale) dei datipersonali di coloro che sonoassistiti all’interno delle attivitàsanitarie e socio‐assistenzialigestite dagli enti ecclesiastici.



Paragrafo II

Nota interpretativa introduttiva

Questione preliminare: due ordinamenti, due norme, un solo ente ecclesiastico

10


Quanto esposto nelle slides

è una proposta interpretativa provvisoria e sperimentale

per applicare le norme comunitarie e canoniche in tema di Privacy,

e consentire agli enti ecclesiastici «titolari del trattamento» dei dati

(diocesi, parrocchie, istituti di vita consacrata, fondazioni,

associazioni di fedeli seminari, istituti di studio …)

di risolvere questioni concrete e quotidiane agendo secundum legem.

Pertanto, le soluzioni proposte potranno essere riviste alla luce

delle indicazioni che saranno date dagli enti/organismi competenti

(comunitari, nazionali e ecclesiali).

Il Regolamento UE 2016/679 e il Decreto CEI 2018

11


Paragrafo III

Questione preliminare:

due ordinamenti, due norme, un unico ente ecclesiastico


12


L'ente ecclesiastico è un unico soggetto Tenuto, pertanto, ad osservare – in contemporanea –sia la disciplina canonica, sia quella statale/europea

Questi due testi normativi non sono completamente identici,benché lo siano alcuni articoli fondamentali


Decreto Generale CEI 2018 Regolamento UE 2016/679

13


Questione preliminare:

l'ente ecclesiastico può osservare – in contemporanea – due discipline non identiche?

oppure, come dice la parabola,

"Nessuno può servire a due padroni, perché o odierà l'uno e amerà l'altro; oppure sarà fedele all'uno e disprezzerà l'altro"

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐Nel 1984, in occasione della Revisione del Concordato Lateranense, lo Stato e la Chiesa italiana

hanno elaborato assieme un'unica serie di norme per la disciplina degli enti e dei beni ecclesiastici

MA

in quell'occasione lo stesso articolato è confluito sia nella L. 222/85 (norma statale)

sia nel Decreto del Segretario di Stato del 3 giugno 1985 (norma canonica)

IN QUESTO CASO

osservando la norma di un ordinamento si osserva anche quella dell'altro ordinamento


14


Paragrafo IV

È necessario e/o possibile

applicare/osservare

contemporaneamente

il Regolamento UE 2016/679 ed il Decreto CEI 2018?


15


Dal 25 maggio 2018 in Italia sono in vigore due corpus normativi:quello europeo – Regolamento UE 2016/679

quello canonico – Decreto CEI 2018

Questione: la loro applicazione è concorrente oppure, almeno per alcuni ambiti, la normaeuropea non è cogente per l'EECR?


Regolamento UE 2016/679 Decreto CEI 2018

Considerando 10Al fine di assicurare un livello coerente ed elevato di protezione delle personefisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’internodell’Unione, il livello di protezione dei diritti e delle libertà delle personefisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente intutti gli Stati membri. È opportuno assicurare un’applicazione coerente eomogenea delle norme a protezione dei diritti e delle libertà fondamentalidelle persone fisiche con riguardo al trattamento dei dati personali in tuttal’Unione. […]In combinato disposto con la legislazione generale e orizzontale in materia diprotezione dei dati che attua la direttiva 95/46/CE gli Stati membridispongono di varie leggi settoriali in settori che richiedono disposizioni piùspecifiche. Il presente regolamento prevede anche un margine di manovradegli Stati membri per precisarne le norme, anche con riguardo altrattamento di categorie particolari di dati personali («dati sensibili»). In talsenso, il presente regolamento non esclude che il diritto degli Stati membristabilisca le condizioni per specifiche situazioni di trattamento, anchedeterminando con maggiore precisione le condizioni alle quali il trattamentodi dati personali è lecito.

Articolo 1 ‐ Finalità

§ 1. La presente normativa è diretta a garantire che il trattamento dei dati (diseguito denominati “dati personali”) relativi ai fedeli, agli enti ecclesiastici,alle aggregazioni ecclesiali, nonché alle persone che entrano in contatto con imedesimi soggetti, si svolga nel pieno rispetto del diritto della persona allabuona fama e alla riservatezza riconosciuto dal can. 220 del codice di dirittocanonico e del can. 23 del codice dei canoni delle Chiese orientali.

§ 2. Il presente decreto (di seguito Decreto) si applica al trattamentointeramente o parzialmente automatizzato di dati personali e al trattamentonon automatizzato di dati personali contenuti in un archivio o destinati afigurarvi.

Can. 11

Alle leggi puramente ecclesiastiche sono tenuti i battezzati nella Chiesacattolica o in essa accolti, e che godono di sufficiente uso di ragione e, ameno che non sia disposto espressamente altro dal diritto, hanno compiuto ilsettimo anno di età.

16


La risposta alla domanda circa la possibilità di applicare

in contemporanea

i due testi normativi non può che emergere

dall’interpretazione dei medesimi testi normativi.

Sono, infatti, le norme stesse a fissare

limiti e condizioni della loro applicazione.


17


1° dato L’art. 91 del Regolamento UE riconosce uno «spazio di libertà» alle chiese, purchédiano precise garanzie di tutela della privacy.

Qualcosa di simile era previsto dall’art. 26, co. 3, lett. a) e dall’art. 181, co. 6, D.Lgs. n. 196/03


Articolo 91 ‐ Norme di protezione dei dati vigenti presso chiese e associazionireligiose (C165)

1. Qualora in uno Stato membro chiese e associazioni o comunità religioseapplichino, al momento dell’entrata in vigore del presente regolamento,corpus completi di norme a tutela delle persone fisiche con riguardo altrattamento, tali corpus possono continuare ad applicarsi purché siano resiconformi al presente regolamento.

2. Le chiese e le associazioni religiose che applicano i corpus completi dinorme di cui al paragrafo 1 del presente articolo sono soggette al controllo diun’autorità di controllo indipendente che può essere specifica, purchésoddisfi le condizioni di cui al capo VI del presente regolamento.

Considerando 165

Il presente regolamento rispetta e non pregiudica lo status di cui godono lechiese e le associazioni o comunità religiose negli Stati membri in virtù deldiritto costituzionale vigente, in conformità dell’articolo 17 TFUE.

Prot. n. 389/2018

DECRETO

La Conferenza Episcopale Italiana, nella 71° Assemblea Generale, svoltasi aRoma dal 21 al 24 maggio 2018, ha esaminato e approvato con la prescrittamaggioranza qualificata il “Decreto generale” che contiene le disposizioni perla tutela del diritto alla buona fama e alla riservatezza dei dati relativi allepersone dei fedeli, degli enti ecclesiastici e delle aggregazioni laicali.

Con il presente Decreto, nella mia qualità di Presidente della ConferenzaEpiscopale Italiana, per mandato della medesima Assemblea Generale, dopoaver ottenuto la debita “recognitio” della Santa Sede in data 23 maggio 2018con Decreto n. 757/2005 della Congregazione per i Vescovi, in conformità alcan. 455, § 3, del Codice di diritto e ai sensi dell'art. 27, lett. f, dello Statutodella C.E.I. promulgo l'allegato “Decreto generale”.

Ai sensi dell'art. 16, § 3, dello Statuto C.E.I. stabilisco che tale “Decretogenerale” entri in vigore al momento della pubblicazione del presenteDecreto di promulgazione sul sito web della Conferenza Episcopale Italiana,alla quale farà seguito anche la pubblicazione nel Notiziario della ConferenzaEpiscopale Italiana.

Roma, 24 maggio 2018.

[continua]


18


1° dato L’art. 91 del Regolamento UE riconosce uno «spazio di libertà» alle chiese, purchédiano precise garanzie di tutela della privacy.

Qualcosa di simile era previsto dall’art. 26, co. 3, lett. a) e dall’art. 181, co. 6, D.Lgs. n. 196/03


La 71 Assemblea Generale della Conferenza Episcopale Italiana approva il seguente

DECRETO GENERALE

DISPOSIZIONI PER LA TUTELA DEL DIRITTO ALLA BUONA FAMA E ALLA RISERVATEZZA

RITENUTO che è opportuno dare più articolata regolamentazione al diritto della persona alla buona famae alla riservatezza riconosciuto dal can. 220 del codice di diritto canonico e dal can. 23 del codice deicanoni delle Chiese orientali (CCEO) (1);

CONSIDERATO CHE

• la Chiesa cattolica, ordinamento giuridico indipendente e autonomo nel proprio ordine, ha il dirittonativo e proprio di acquisire, conservare e utilizzare per i suoi fini istituzionali i dati relativi alle personedei fedeli, agli enti ecclesiastici e alle aggregazioni ecclesiali;

• tale attività si svolge nel rispetto della dignità della persona e dei suoi diritti fondamentali;

• l'esigenza di proteggere il diritto alla riservatezza rispetto a ogni forma di acquisizione, conservazione eutilizzazione dei dati personali è avvertita con sensibilità sempre crescente dalle persone e dalleistituzioni;

• la protezione dei dati personali è disciplinata negli Stati membri dell'Unione Europea dal Regolamento(UE) 2016/679 (3), fatte salve le integrazioni da parte del diritto nazionale consentite dallo stesso;

• ai sensi dell’articolo 17, n. 1, del Trattato sul funzionamento dell’Unione europea “L'Unione rispetta enon pregiudica lo status di cui le chiese e le associazioni o comunità religiose godono negli Statimembri in virtù del diritto nazionale”;


19


2° dato Il Regolamento UE• vieta – in generale – il trattamento dei dati personali che rivelano leconvinzioni religiose,

• ma consente il loro trattamento in presenza di precisecondizioni/circostanze.

Regolamento UE 2016/679

Articolo 9Trattamento di categorie particolari di dati personali1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale,nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale oall’orientamento sessuale della persona. (C51)2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: (C51, C52)a) l’Interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il dirittodell’Unione o degli Stati membri dispone che l’Interessato non possa revocare il divieto di cui al paragrafo 1;b) [in materia di diritto del lavoro e della sicurezza sociale e protezione sociale];c) [per tutelare un interesse vitale dell’Interessato o di un’altra persona fisica];d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo dilucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le personeche hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senzail consenso dell’Interessato;e) il trattamento riguarda dati personali resi manifestamente pubblici dall’Interessato;f) [in sede giudiziaria];g) [per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri];h) [per finalità di medicina preventiva o di medicina del lavoro];i) [il trattamento è necessario per motivi di interesse pubblico nel settore della sanità Pubblica];j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89,paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati eprevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’Interessato.


20


Alla luce degli artt. 9 e 91 del Regolamento UE

preso atto che

• la Chiesa cattolica è un ordinamento giuridico indipendente e sovrano (cf art. 7, co. 1, Costituzione),

• il Regolamento UE prevede ambiti di «libertà» (artt. 9 e 91),

• è vigente il Decreto Generale CEI 2018,

si può ritenere che:

1) nell'ipotesi che l'ente ecclesiastico tratti dati personali e/o religiosi SOLO per finalità inerenti alleattività di "religione o culto" (cf elenco art. 16 lett. a, L. 222/85), SENZA divulgarle all'esterno, si possaapplicare SOLO il Decreto Generale della CEI,

2) nell'ipotesi, invece, che manchi anche una sola delle condizioni/circostanze di cui al punto a), l'enteecclesiastico debba osservare anche il Regolamento UE 679/16.


21


In altre parole

Tenuto conto del combinato disposto dell’art. 91 e dell’art. 9 del Regolamento UE e

dell’art. 7 della Costituzione, si può ritenere che:

• il trattamento dei dati personali e/o religiosi dei fedeli e di coloro che hanno

regolari contatti con la Chiesa Cattolica,

• nell’ambito di attività di religione o culto,

• quando non comunicati all’esterno,

possa svolgersi osservando le SOLE norme del Decreto Generale della CEI 2018


22


[esplicitazione dei motivi che giustificano – sempre in via provvisoria – la conclusione]

Tenuto conto del combinato disposto dell’art. 91 e dell’art. 9 del Regolamento UE e

dell’art. 7 della Costituzione, si può ritenere che:

• il trattamento dei dati personali e/o religiosi dei fedeli e di coloro che hanno

regolari contatti con la Chiesa Cattolica (cf art. 9 «i membri, gli ex membri o le

persone che hanno regolari contatti con la fondazione, l’associazione o

l’organismo»),

• trattati nell’ambito di attività di religione o culto (cf art. 9 «a motivo delle sue

finalità»),

• quando non comunicati all’esterno (cf art. 9)

possa svolgersi osservando le SOLE norme del Decreto Generale CEI 2018.


23


Paragrafo V

La struttura fondamentale della normativa europea e canonica:

1. i dati personali e quelli che rivelano le convinzioni religiose

2. il trattamento

3. il titolare del trattamento

4. la liceità del trattamento

5. il consenso e le altre basi giuridiche

6. l’informativa(in queste slides rimangono inevasi altri temi fondamentali, per es. il Registro del trattamento eil Responsabile della sicurezza dei dati e il co‐titolare, in quanto in questa sede si intende offrireuna prima introduzione per cominciare ad osservare – nella sostanza – le normative).

La struttura fondamentale della disciplina europea e canonica

24


1. I dati «personali» e quelli che «rivelano le convinzioni religiose»


25


Quali tipologie di dati sono protetti dalla normativa comunitaria e canonica?

I dati «personali»


Decreto CEI 2018 – art. 2 Regolamento UE 2016/679 – art. 4

1) «dato personale»: qualsiasi informazioneriguardante un ente ecclesiastico, un’aggregazioneecclesiale, una persona fisica identificata oidentificabile («Interessato»); si consideraidentificabile la persona fisica che può essereidentificata, direttamente o indirettamente, conparticolare riferimento a un identificativo come ilnome, un numero di identificazione, dati relativiall'ubicazione, un identificativo online o a uno o piùelementi caratteristici della sua identità fisica,fisiologica, genetica, psichica, economica, culturale osociale;

1) «dato personale»: qualsiasi informazioneriguardante una persona fisica identificata oidentificabile («Interessato»); si consideraidentificabile la persona fisica che può essereidentificata, direttamente o indirettamente, conparticolare riferimento a un identificativo come ilnome, un numero di identificazione, dati relativiall’ubicazione, un identificativo online o a uno o piùelementi caratteristici della sua identità fisica,fisiologica, genetica, psichica, economica, culturale osociale; (C26, C27, C30)

26


Sono dati «personali»

1) cognome e nome + gli elementi che permettono di distinguere una persona dall’altra(data di nascita o residenza o codice fiscale o incarico …),

2) cognome e nome + fotografia/video,3) cognome e nome + relazione con eventi,4) cognome e nome + telefono/mail,5) cognome e nome + telefono/mail personali + incarico ecclesiale

È lecito il trattamento dei dati «personali», anche senza aver acquisito il consenso,se i dati sono stati resi «manifestamente» pubblici dall’Interessato

oppurese indicano solo l'incarico ecclesiale della persona (senza indicare il telefono/mail personali)


27


Le particolari categorie di dati (Art. 9 Regolamento)[precedente denominati «dati sensibili»]

Il Regolamento UE distingue all’interno dei dati personali («qualsiasi informazione riguardante

una persona fisica identificata o identificabile») quelli particolarmente sensibili (Considerando

nn. 10 e 51) in quanto capaci di «rivelare le convinzioni religiose dell’Interessato» (art. 9).


28


La disciplina per il trattamento dei dati «particolari» (per es. religiosi e di salute)art. 9, co. 2, Regolamento UE


1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzionireligiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi aidentificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamentosessuale della persona.

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi

a) L'Interessato presta il consenso esplicito […];

b) Il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare deltrattamento o dell'Interessato in materia di lavoro e della sicurezza sociale e protezione sociale […];

c) Il trattamento è necessario per tutela un interesse vitale dell'Interessato o di un'altra persona fisica […];

d) «il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, […] altroorganismo senza scopo di lucro che persegua finalità […] religiose […], a condizione che il trattamentoriguardi unicamente1) i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o

l’organismo2) a motivo delle sue finalità e3) che i dati personali non siano comunicati all’esterno senza il consenso dell’Interessato»;

e) il trattamento riguarda dati personali resi manifestamente pubblici dall'Interessato […]

29


Quali sono i dati in grado di rivelare le convinzioni religiose di una persona?

Finora né la norma (vigente e precedente), né decisioni del Garante lo precisano.

Alla luce dell’interpretazione dell’Accordo di Revisione si potrebbe ritenere che:siano in grado di rivelare le convinzioni religiose idati che attestano:

NON siano in grado di rivelare le convinzioni religiose idati che attestano solo:

‐ l’adesione alla Chiesa Cattolica (tutti i datipresenti nei Registri Canonici),

‐ la partecipazione alle iniziative "religiose" dellaChiesa Cattolica (catechesi, oratorio, grest,campi scuola, iniziative educative rivolte airagazzi/giovani),

‐ la partecipazione agli organismi della vitaecclesiale (Consiglio Pastorale, Consiglio AffariEconomici, altre commissioni parrocchiali,comitati etico/religiosi),

‐ …

‐ l’iscrizione alle attività culturali promosse dellaChiesa Cattolica (convegni, mostre, sale dellaComunità),

‐ l'esistenza di un rapporto di tipo lavorativo (ocollaborazioni simili) con enti ecclesiastici,

‐ l’iscrizione alle scuole cattoliche,‐ l'esistenza di un rapporto contrattuale avente ad

oggetto servizi resi attraverso attività economichegestite dagli enti ecclesiastici (case di cura,ospedali, case di riposo, consultori familiari, centridi accoglienza),

‐ l’abbonamento a riviste e giornali editi da entiecclesiastici,

‐ l'erogazione di offerte anche per attività disolidarietà e/o di carità,

‐ …


30


2. Il «Trattamento»


31


Il trattamento



2) «trattamento»: qualsiasi operazione o insieme dioperazioni, compiute con o senza l'ausilio di processiautomatizzati e applicate a dati personali o insiemi didati personali, come• la raccolta,• la registrazione,• l'organizzazione,• la strutturazione,• la conservazione,• l'adattamento o la modifica,• l'estrazione,• la consultazione,• l'uso,• la comunicazione mediante trasmissione,

diffusione o qualsiasi altra forma di messa adisposizione,

• il raffronto o l'interconnessione,• la limitazione,• la cancellazione o la distruzione.

2) «trattamento»: qualsiasi operazione o insieme dioperazioni, compiute con o senza l’ausilio di processiautomatizzati e applicate a dati personali o insiemi didati personali, come• la raccolta,• la registrazione,• l’organizzazione,• la strutturazione,• la conservazione,• l’adattamento o la modifica,• l’estrazione,• la consultazione,• l’uso,• la comunicazione mediante trasmissione,

diffusione o qualsiasi altra forma di messa adisposizione,

• il raffronto o l’interconnessione,• la limitazione,• la cancellazione o la distruzione.

32


3. Il Titolare del Trattamento … e le attività sovraparrocchiali


33


Il Titolare del trattamento

La responsabilità del Titolare del trattamento



7) «titolare del trattamento»: la persona fisica ogiuridica, il servizio o altro organismo che,singolarmente o insieme ad altri, determina lefinalità e i mezzi del trattamento di dati personali;

7) «titolare del trattamento»: la persona fisica ogiuridica, l’autorità pubblica, il servizio o altroorganismo che, singolarmente o insieme ad altri,determina le finalità e i mezzi del trattamento di datipersonali;

34


§ 1. Tenuto conto della natura, dell'ambito diapplicazione, del contesto e delle finalità deltrattamento, il titolare del trattamento mette in attomisure tecniche e organizzative adeguate pergarantire, ed essere in grado di dimostrare, che iltrattamento è effettuato conformemente al presentedecreto e alle norme canoniche.

1. Tenuto conto della natura, dell’ambito diapplicazione, del contesto e delle finalità deltrattamento, nonché dei rischi aventi probabilità egravità diverse per i diritti e le libertà delle personefisiche, il titolare del trattamento mette in atto misuretecniche e organizzative adeguate per garantire, edessere in grado di dimostrare, che il trattamento èeffettuato conformemente al presente regolamento.Dette misure sono riesaminate e aggiornate qualoranecessario.


Il Responsabile del trattamento


35


8) «responsabile del trattamento»: la persona fisica ogiuridica, il servizio o altro organismo che tratta datipersonali per conto del titolare del trattamento;

8) «responsabile del trattamento»: la persona fisica ogiuridica, l’autorità pubblica, il servizio o altroorganismo che tratta dati personali per conto deltitolare del trattamento;

Regolamento UE 2016/679 – art. 28

3. I trattamenti da parte di un responsabile deltrattamento sono disciplinati da un contratto o daaltro atto giuridico a norma del diritto dell’Unione odegli Stati membri, che vincoli il responsabile deltrattamento al titolare del trattamento e che stipuli lamateria disciplinata e la durata del trattamento, lanatura e la finalità del trattamento, il tipo di datipersonali e le categorie di interessati, gli obblighi e idiritti del titolare del trattamento.


Il Responsabile del trattamento

• Questo figura è nuova ed è definita dalla legge: è il soggetto (fisico o giuridico) che tratta i dati «per conto delTitolare», di norma su suo incarico.

• I rapporti tra il Titolare ed i Responsabile sono determinati da un accordo/contratto (gratuito od oneroso);l’accordo deve indicare anche il modo ed i limiti che deve osservare il Responsabile nel trattare i dati. Alla finedell’incarico il Responsabile deve restituire i dati al Titolare e, di norma, non può trattenerli.

• Il Titolare rimane responsabile verso l’Interessato delle violazioni perpetrate dal Responsabile del trattamento.

Alcune figure di Responsabile del trattamento «per conto della parrocchia»:1) il commercialista,2) il servizio di paghe e contributi,3) il Responsabile del Servizio di Prevenzione e Protezione (D.Lgs. n. 81/08),4) l’ente che gestisce il server ed assicura i servizi in cloud (dipende, però, dal tipo di servizio assicurato).


36


L’Autorizzato al trattamento

La figura dell'Autorizzato è del tutto differente rispetto a quella del Responsabile del trattamento.L'Autorizzato (già conosciuto come Incaricato) agisce quale collaboratore del Titolare del trattamento, di norma non assumeun ruolo rilevante ad extra ma risponde verso il Titolare per aver mal eseguito il compito ricevuto ed aver provocato danni alTitolare.È necessario che il Titolare del trattamento consegni ai suoi collaboratori un documento che illustra le "modalità" che devonoessere osservate nel trattare i dati.Alcune figure di Autorizzato (Incaricato) al trattamento:1) gli addetti alla segreteria parrocchiale, dell’oratorio, della scuola dell’infanzia …,2) le catechiste ed i responsabili dell’oratorio,3) i responsabili dei gruppi parrocchiali4) …


37


§ 2. Ogni operatore che ha accesso stabile ai datiraccolti da soggetti dell'ordinamento canonico o daessi legittimamente posseduti deve impegnarsi,prima di assumere l'incarico, a mantenere il segretocirca i medesimi dati con promessa formale davantial titolare del trattamento. L'obbligo del segretorimane integro anche dopo la cessazionedall'incarico.

4. Il titolare del trattamento e il responsabile deltrattamento fanno sì che chiunque agisca sotto la loroautorità e abbia accesso a dati personali non tratti talidati se non è istruito in tal senso dal titolare deltrattamento, salvo che lo richieda il dirittodell’Unione o degli Stati membri.


Il Titolare del trattamento e alcune attività sovraparrocchiali

• Poiché il decanato, il vicariato, le comunità pastorali, le unità pastorali sono soggetti canonici che non hannoriconoscimento civile (non sono, infatti, enti ecclesiastici), si pone il problema di chi sia il Titolare del trattamento inambito civile (in ambito canonico sono questi stessi enti ma, come detto, tale status non rileva nell’ordinamentocivile).

• La soluzione più semplice è quella che riconosce la titolarità del trattamento in capo ad una delle parrocchie deldecanato, del vicariato, della comunità pastorale, dell’unità pastorale.

• Dunque, la raccolta dei dati personali per iniziative che sono promosse dal decanato (pellegrinaggi, ritiri, eventiformativi, percorsi di catechesi sovraparrocchiali …) non può essere formalmente ricondotta al decanato e ciò deveemergere con chiarezza e senza equivoci dall’intestazione del modulo utilizzato per l’iscrizione e per trasmetterel’informativa

Esempio:

Parrocchia Santa Maria del Suffragio ‐ MilanoPastorale Giovanile decanato «XXX»

Pellegrinaggio 14enni a Roma

La medesima chiarezza deve aversi qualora la raccolta dei dati avvenga attraverso un form inserito in una pagina web.


38


4. La «liceità» del trattamento


39


Decreto CEI – art. 3 Principi applicabili al trattamento dei dati Regolamento UE – art. 5 Principi applicabili al trattamento di dati

§ 1. I dati personali devono essere:

a) trattati in modo lecito, corretto e trasparente nei confronti dell'Interessato;

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattatiin modo che il trattamento non sia incompatibile con tali finalità; un ulterioretrattamento dei dati personali a fini di archiviazione o a fini storici o statisticinon è considerato incompatibile con le finalità iniziali;

c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sonotrattati;

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misureragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispettoalle finalità per le quali sono trattati;

e) conservati in una forma che consenta l'identificazione degli interessati per l'arcodi tempo necessario rispetto alle finalità per le quali sono trattati; i dati personalipossono essere conservati per periodi più lunghi se trattati esclusivamente afini di archiviazione, o a fini storici o statistici, fatta salva l'attuazione dellemisure tecniche e organizzative adeguate richieste dal presente decretogenerale a tutela dei diritti e delle libertà dell'Interessato;

f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali,compresa la protezione, mediante misure tecniche e organizzative adeguate,da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o daldanno accidentali.

§ 2. Il titolare del trattamento ai sensi dell'articolo 8, § 3 del Decreto è competenteper il rispetto del § 1 del presente articolo e in grado di comprovarlo.

1. I dati personali sono: (C39)

a) trattati in modo lecito, corretto e trasparente nei confronti dell’Interessato(«liceità, correttezza e trasparenza»);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattatiin modo che non sia incompatibile con tali finalità; un ulteriore trattamento deidati personali a fini di archiviazione nel pubblico interesse, di ricerca scientificao storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1,considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per lequali sono trattati («minimizzazione dei dati»);

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misureragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispettoalle finalità per le quali sono trattati («esattezza»);

e) conservati in una forma che consenta l’identificazione degli interessati per unarco di tempo non superiore al conseguimento delle finalità per le quali sonotrattati; i dati personali possono essere conservati per periodi più lunghi acondizione che siano trattati esclusivamente a fini di archiviazione nel pubblicointeresse, di ricerca scientifica o storica o a fini statistici, conformementeall’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche eorganizzative adeguate richieste dal presente regolamento a tutela dei diritti edelle libertà dell’Interessato («limitazione della conservazione»);

f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali,compresa la protezione, mediante misure tecniche e organizzative adeguate,da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o daldanno accidentali («integrità e riservatezza»).

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in gradodi comprovarlo («responsabilizzazione»).


A quali condizioni è possibili trattare i dati personali? Liceità

40


Il trattamento non può che avvenire in modo lecito

Cosa si intende per «liceità del trattamento»Considerando 39Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per lepersone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che liriguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza imponeche le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili ecomprensibili e che sia utilizzato un linguaggio semplice e chiaro.

Considerando 40Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sul consenso dell’Interessato o su altra baselegittima prevista per legge dal presente regolamento o dal diritto dell’Unione o degli Stati membri, come indicatonel presente regolamento, tenuto conto della necessità di ottemperare all’obbligo legale al quale il titolare deltrattamento è soggetto o della necessità di esecuzione di un contratto di cui l’Interessato è parte o di esecuzionedi misure precontrattuali adottate su richiesta dello stesso.



a) trattati in modo lecito, corretto e trasparente neiconfronti dell'Interessato;


a) trattati in modo lecito, corretto e trasparente neiconfronti dell’Interessato («liceità, correttezza etrasparenza»);


41




a) adeguati, pertinenti e non eccedenti rispetto allefinalità per le quali sono trattati;


a) adeguati, pertinenti e limitati a quanto necessariorispetto alle finalità per le quali sono trattati(«minimizzazione dei dati»);


A quali condizioni è possibili trattare i dati personali? Adeguati e non eccedenti

Questo requisito intende evitare che si raccolgano dati personali sproporzionati – per quantità e qualità – rispettoalle finalità che sono alla base del trattamento.

42


5. Il «consenso» e le altre «basi giuridiche»


43


Decreto CEI – art. 4 Liceità del trattamento di dati personali Regolamento UE – art. 6Liceità del trattamento di dati personali «religiosi»

§ 1. Il trattamento è lecito in presenza di almeno una delle seguenti condizioni:

a) l'Interessato, o l’esercente la responsabilità genitoriale sull'Interessato qualora minore,hanno espresso liberamente, specificamente, in maniera informata e inequivoca, mediantedichiarazione o azione positiva inequivocabile, il consenso al trattamento dei dati personalidell'Interessato per una o più specifiche finalità. […];

b) il trattamento è necessario per adempiere un obbligo, previsto dalle norme canoniche odalle norme civili, al quale il titolare del trattamento è soggetto;

c) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connessoall'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Si considerano diinteresse pubblico le finalità relative allo svolgimento dei rapporti istituzionali tra le autoritàpubbliche e le Chiese, le associazioni o le comunità religiose. È effettuato per motivi diinteresse pubblico il trattamento di dati personali a cura di autorità pubbliche allo scopo direalizzare fini, previsti dal diritto costituzionale o dal diritto internazionale pubblico, diassociazioni religiose ufficialmente riconosciute. Il trattamento deve essere proporzionatoalla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevederemisure appropriate e specifiche per tutelare i diritti fondamentali e gli interessidell'Interessato;

d) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientificao storica o a fini statistici […];

e) il trattamento è necessario per il perseguimento del legittimo interesse del titolare deltrattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertàfondamentali dell'Interessato che richiedono la protezione dei dati personali, in particolarese l'Interessato è un minore;

f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziariao ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g) il trattamento riguarda dati personali resi manifestamente pubblici dall'Interessato.

1. Il trattamento è lecito solo se e nella misura in cui ricorre almenouna delle seguenti condizioni: (C40)

a) l’Interessato ha espresso il consenso al trattamento dei propridati personali per una o più specifiche finalità; (C42, C43)

b) il trattamento è necessario all’esecuzione di un contratto di cuil’Interessato è parte o all’esecuzione di misure precontrattualiadottate su richiesta dello stesso; (C44)

c) il trattamento è necessario per adempiere un obbligo legale alquale è soggetto il titolare del trattamento; (C45)

d) il trattamento è necessario per la salvaguardia degli interessivitali dell’Interessato o di un’altra persona fisica; (C46)

e) il trattamento è necessario per l’esecuzione di un compito diinteresse pubblico o connesso all’esercizio di pubblici poteri dicui è investito il titolare del trattamento; (C45, C46)

f) il trattamento è necessario per il perseguimento del legittimointeresse del titolare del trattamento o di terzi, a condizione chenon prevalgano gli interessi o i diritti e le libertà fondamentalidell’Interessato che richiedono la protezione dei dati personali,in particolare se l’Interessato è un minore. (C47‐C50)

La lettera f) del primo comma non si applica al trattamento di datieffettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.


Le «basi giuridiche» del trattamento

44


Regolamento UE – art. 6 Dati personali Regolamento UE – art. 9 Particolari categorie di dati personali:• origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale,• dati genetici, dati biometrici,• dati relativi alla salute o alla vita sessuale o all’orientamento sessuale

1. Il trattamento è lecito solo se e nella misura in cui ricorrealmeno una delle seguenti condizioni: (C40)a) l’Interessato ha espresso il consenso al trattamento dei

propri dati personali per una o più specifiche finalità; (C42,C43)

b) il trattamento è necessario all’esecuzione di un contrattodi cui l’Interessato è parte o all’esecuzione di misureprecontrattuali adottate su richiesta dello stesso; (C44)

c) il trattamento è necessario per adempiere un obbligolegale al quale è soggetto il titolare del trattamento; (C45)

d) il trattamento è necessario per la salvaguardia degliinteressi vitali dell’Interessato o di un’altra persona fisica;(C46)

e) il trattamento è necessario per l’esecuzione di un compitodi interesse pubblico o connesso all’esercizio di pubblicipoteri di cui è investito il titolare del trattamento; (C45,C46)

f) il trattamento è necessario per il perseguimento dellegittimo interesse del titolare del trattamento o di terzi, acondizione che non prevalgano gli interessi o i diritti e lelibertà fondamentali dell’Interessato che richiedono laprotezione dei dati personali, in particolare sel’Interessato è un minore. (C47‐C50)

La lettera f) del primo comma non si applica al trattamento didati effettuato dalle autorità pubbliche nell’esecuzione dei lorocompiti.

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: (C51, C52)a) l’Interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità

specifiche, […];b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o

dell’Interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cuisia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo […];

c) il trattamento è necessario per tutelare un interesse vitale dell’Interessato o di un’altra persona fisica qualoral’Interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione,associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose osindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hannoregolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personalinon siano comunicati all’esterno senza il consenso dell’Interessato;

e) il trattamento riguarda dati personali resi manifestamente pubblici dall’Interessato;f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria […];g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli

Stati membri, […]; (C55, C56)h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della

capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi eservizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto conun professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezioneda gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezzadell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Statimembri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’Interessato, inparticolare il segreto professionale; (C54)

j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a finistatistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che èproporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misureappropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’Interessato.


Regolamento UE: le diverse «basi giuridiche» del trattamento

45


I requisiti del Consenso


Decreto CEI – art. 4 Liceità del trattamento Regolamento UE – art. 6 Liceità del trattamento

§ 1. Il trattamento è lecito in presenza di almeno una delleseguenti condizioni:

a) l'Interessato, o l’esercente la responsabilità genitorialesull'Interessato qualora minore, hanno espresso liberamente,specificamente, in maniera informata e inequivoca, mediantedichiarazione o azione positiva inequivocabile, il consenso altrattamento dei dati personali dell'Interessato per una o piùspecifiche finalità. […];

[…]

§ 2. Con riguardo alla lettera a) del § 1, il titolare del trattamentoavrà cura di approntare i mezzi più opportuni al fine di poterdimostrare che l'interessato, o l’esercente la responsabilitàgenitoriale sull'interessato qualora minore, abbiano acconsentitoal trattamento, in particolare attraverso una dichiarazione diconsenso predisposta dallo stesso titolare del trattamento in unaforma comprensibile e facilmente accessibile, che usi unlinguaggio semplice e chiaro e non contenga clausole abusive.

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:(C40)

a) l’Interessato ha espresso il consenso al trattamento dei propri dati personali per una o piùspecifiche finalità; (C42, C43)

Considerando 40

Per i trattamenti basati sul consenso dell’Interessato, il titolare del trattamento dovrebbe essere ingrado di dimostrare che l’Interessato ha acconsentito al trattamento. In particolare, nel contesto diuna dichiarazione scritta relativa a un’altra questione dovrebbero esistere garanzie che assicurinoche l’Interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene.In conformità della direttiva 93/13/CEE del Consiglio (10) è opportuno prevedere una dichiarazionedi consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmenteaccessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive. Ai fini di unconsenso informato, l’Interessato dovrebbe essere posto a conoscenza almeno dell’identità deltitolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consensonon dovrebbe essere considerato liberamente espresso se l’Interessato non è in grado di operareuna scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subirepregiudizio.

Considerando 43Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca unvalido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista unevidente squilibrio tra l’Interessato e il titolare del trattamento, specie quando il titolare deltrattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia statoespresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consensonon sia stato liberamente espresso se non è possibile esprimere un consenso separato a distintitrattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di uncontratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sianecessario per tale esecuzione.

46


6. La «Informativa»


47


Decreto CEI – art. 6 Informazioni all'Interessato Regolamento UE – art. 12 Informazioni, comunicazioni e modalitàtrasparenti per l’esercizio dei diritti dell’Interessato

§ 1. Il titolare del trattamento adotta misure appropriateper fornire all'Interessato tutte le informazioni di cui ai §§4 e 5 del presente articolo e le comunicazioni di cui agliarticoli 7 e 8 del Decreto relative al trattamento in formaconcisa, trasparente, intelligibile e facilmente accessibile,con un linguaggio semplice e chiaro, in particolare nelcaso di informazioni destinate specificamente ai minori.Le informazioni sono fornite per iscritto o con altri mezzi,anche, se del caso, con mezzi elettronici. Se richiestodall'Interessato, le informazioni possono essere forniteoralmente, purché sia comprovata con altri mezzil'identità dell'Interessato.

1. Il titolare del trattamento adotta misure appropriateper fornire all’Interessato tutte le informazioni di cui agliarticoli 13 e 14 e le comunicazioni di cui agli articoli da 15a 22 e all’articolo 34 relative al trattamento in formaconcisa, trasparente, intelligibile e facilmente accessibile,con un linguaggio semplice e chiaro, in particolare nelcaso di informazioni destinate specificamente ai minori.Le informazioni sono fornite per iscritto o con altri mezzi,anche, se del caso, con mezzi elettronici. Se richiestodall’Interessato, le informazioni possono essere forniteoralmente, purché sia comprovata con altri mezzil’identità dell’Interessato.

L'Informativa


48


Decreto CEI – art. 6, co. 4 Regolamento UE – art. 12, co. 1 e 2

§ 4. In caso di raccolta presso l'interessato, il titolare del trattamento,nel momento in cui i dati personali sono ottenuti, rende notoall’interessato che i dati saranno trattati nel pieno rispetto dellanormativa canonica e gli fornisce le seguenti informazioni:l'identità e i dati di contatto del titolare del trattamento;a) i dati di contatto del responsabile della protezione dei dati, ove

designato ai sensi dell'articolo 18 del Decreto;b) le finalità del trattamento cui sono destinati i dati personali nonché

la base giuridica del trattamento ai sensi dell'articolo 4 del Decreto;c) gli eventuali destinatari o le eventuali categorie di destinatari dei

dati personali.Inoltre, il titolare del trattamento trasmette le informazioni relative a:a) il periodo di conservazione dei dati personali oppure, se non è

possibile, i criteri utilizzati per determinare tale periodo;b) l'esistenza del diritto dell'interessato di chiedere al titolare del

trattamento l'accesso ai dati personali ai sensi dell'articolo 7, § 1 ela rettifica o la cancellazione degli stessi o la limitazione deltrattamento che lo riguardano o di opporsi al loro trattamento aisensi dei §§ 2 e 3 dell’articolo 7 e del § 8 dell'articolo 8 del Decreto;

c) il diritto di proporre reclamo all'autorità di controllo;d) se l'interessato ha l'obbligo di fornire i dati personali nonché le

possibili conseguenze della mancata comunicazione di tali dati;e) l'esistenza del diritto di revocare il consenso in qualsiasi momento

senza pregiudicare la liceità del trattamento basata sul consensoprestato prima della revoca, salvo quanto previsto dall’articolo 8, §8, del Decreto.

1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare deltrattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti,le seguenti informazioni:a) l’identità e i dati di contatto del titolare del trattamento […];b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica

del trattamento;d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi

interessi perseguiti dal titolare del trattamento o da terzi;e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati […];f) […].2. […] il titolare del trattamento fornisce all’interessato le seguenti ulterioriinformazioni necessarie per garantire un trattamento corretto e trasparente:a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri

utilizzati per determinare tale periodo;b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento

l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazionedel trattamento […];

c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppuresull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso inqualsiasi momento […];

d) il diritto di proporre reclamo a un’autorità di controllo;e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un

requisito necessario per la conclusione di un contratto, e se l’interessato hal’obbligo di fornire i dati personali nonché le possibili conseguenze della mancatacomunicazione di tali dati;

f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cuiall’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sullalogica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamentoper l’interessato.

Contenuto dell'Informativa


49


Paragrafo VI

Le finalità del trattamento e le attività dell’ente ecclesiastico:

1. dati trattati per le «attività di religione o culto»

2. dati trattati per le «attività diverse»

Excursus: tipologie di dati e di trattamento realizzate dall’ente ecclesiastico

50


Sguardo panoramico sui dati personali trattati in riferimento al tipo di attività di «religione o culto» oppure «diverse»

Excursus: tipologie di dati e di trattamento realizzate dall’ente ecclesiastico

Attività di religione o culto Attività diverse

‐ dati da inserire nei registri canonici‐ dati da inserire nell’anagrafe parrocchiale(comprese le mailing‐list)

‐ dati raccolti per l’iniziazione cristiana e attività dioratorio

‐ dati di coloro che sono assistiti dalle attivitàcaritative «ordinarie» (visita malati, pacchi viveri,sussidi economici, centri d’ascolto …)

‐ dati dei membri Consiglio Pastorale e AffariEconomici

‐ dati dei membri dei gruppi parrocchiali(catechesi, liturgico, chierichetti, missionario,educatori …)

‐ dati raccolti dagli uffici di Curia diocesana.

‐ dati dei partecipanti alle attività economiche(scuole, case riposo, sale della comunità …)

‐ dati dei fornitori/clienti delle attivitàeconomiche (scuole, case riposo, sale dellacomunità …)

‐ dati degli assistiti da attività caritativearticolate e/o di beneficienza

‐ dati dei partecipanti a corsi/iniziative culturali,‐ dati dei dipendenti e collaboratori retribuiti,dei professionisti

• se sono dati dei propri membri e di coloro con iquali ha contatti stabili e

• se non li comunica all’esterno,l’ente ecclesiastico tratta questi dati personaliosservando la sola normativa canonica del DecretoCEI 2018

• anche se sono dati dei propri membri e dicoloro con i quali ha contatti stabili e

• anche se non li comunica all’esterno,l’ente ecclesiastico tratta questi dati personaliosservando la normativa canonica del Decreto CEI2018 e il Regolamento UE 2016/679

51


SEZIONE II

Le linee guida della CEI (giugno 2018)

Le risposte della CEI all’OGLR Lombardia

Sezione II – Le Linee Guida della CEI e le risposte all’OGLR Lombardia

52


Paragrafo VII

Lettura delle risposte elaborate

dall’Osservatorio Giuridico Legislativo Nazionale

in riferimento alle richieste di chiarimento

inviate dall’Osservatorio Giuridico Legislativo Regionale

lo scorso mese di giugno.

Indicazioni e linee guida elaborate dall’Osservatorio Giuridico Legislativo Nazionale

53


1° questione


Domanda OGLR Risposta OGLN CEICompilazione e la conservazione dei registri canonici(can. 535).

Si chiede se sia possibile procedere alla raccolta deidati senza dover acquisire il consenso informato daciascun Interessato (come ordinariamente previstodall’art. 4, lett. a, Decreto CEI) in forza dellaprevisione della lett. b), art. 6, Regolamento UE.

In base a quanto previsto dall’art. 4, § 1, lett. b) e c)del Decreto, sembra possibile ritenere che per lacompilazione e la conservazione dei registri canonici(can. 535) non sia necessario acquisire il consensoinformato di ciascun Interessato.La questione merita comunque un approfondimento.

54


2° questione


Domanda OGLR Risposta OGLN CEIRaccolta dei dati personali destinati alle anagrafiparrocchiali.

Si chiede se sia possibile procedere al trattamentodei dati chiedendo un consenso informato ai sensidell’art. 4, lett. a, Decreto CEI, indicando comefinalità del trattamento “le attività della parrocchiadi natura cultuale, pastorale, culturale, ricreative,sportive e simili” (per es. catechesi dell’iniziazionecristiana, oratorio e grest estivo, proposte dicatechesi e culturali per gli adulti, visita alle famigliein occasione delle benedizioni pasquali e natalizie…).

Qualora i dati di cui al punto 2) riguardino familiariminorenni si chiede se sia necessario procedere allainformativa ai sensi dell’art. 6, § 5, del Decreto CEIquando l’Interessato raggiunga la maggiore età, percontinuare a trattare lecitamente i suoi dati.

Sembra possibile procedere come descritto;potrebbe essere forse opportuno al momentodell’acquisizione del consenso chiarire che questopuò essere prestato anche solo per una finalità (èpossibile, sebbene poco probabile che un soggettointenda partecipare solo a una gita o a una attivitàculturale ma non partecipare ad altre attività eneanche ricevere informative rispetto ad esse).

Se i dati del minore sono raccolti lecitamente nonritengo necessario al raggiungimento della suamaggiore età procedere ad una nuova acquisizionedel consenso: sul punto, è opportuno seguire gliaggiornamenti e le iniziative del Garante.

55


3° questione


Domanda OGLR Risposta OGLN CEIAcquisizione e trattamento di dati personali nonraccolti presso l’Interessato (per es. sono statitrasmessi al Centro di Ascolto parrocchiale dallamoglie per aver un aiuto al fine di poter gestire laludopatia del marito o del figlio maggiorenne):

Si chiede se sia possibile non informare l’Interessato(come ordinariamente previsto dall’art. 6, § 5, delDecreto CEI), in forza della previsione della lett. b),art. 6, § 5).

Non sembra necessario procedere all’informativadell’Interessato.

In realtà è possibile persino dubitare che ci si trovi difronte ad un vero e proprio “trattamento”: il soggettodichiarante è un terzo che “racconta”, senza alcunapossibilità di verifica da parte di chi ascolta, unapropria percezione della realtà (potrebbe essere tuttoinventato, potrebbero non essere forniti datiidentificativi, o essere inesatti, incompleti…).

56


4° questione


Domanda OGLR Risposta OGLN CEIArchivi (telematici) parrocchiali alla data del 25maggio 2018 e raccolti senza aver acquisito ilconsenso dell’Interessato (cf art. 4, § 3, Decreto CEI):

Si chiede se per trattare lecitamente il dato dal 25maggio 2018 sia necessario procedere allatrasmissione a ciascun Interessato della notizia chela parrocchia sta trattando un suo dato personale.

Qualora si ritenga che non sia necessario daresuddetta informativa, si chiede se occorra porre inessere altre iniziative.

Non sembra necessario procedere ad una informativa«individuale»; si potrebbe pensare ad una “iniziativacollettiva” come quella in atto da molti siti: «siinforma il soggetto che è cambiata la normativa e chese non manifesterà la sua opposizione i suoi daticontinueranno ad essere trattati …»

57


5° e 6° questione


Domanda OGLR Risposta OGLN CEIArchivi (telematici) parrocchiali e delle diocesi (uffici di Curia):

Si chiede quali criteri adottare per elaborare unarisposta nei confronti di chi chiedesse – ai sensidell’art. 15, §1, Regolamento UE e dell’art. 7, § 1,Decreto CEI – conferma “che sia o meno in corso untrattamento di dati personali che lo riguardano […].

Archivio segreto (can. 489):


Sembra opportuno trattare le due questionicongiuntamente.

In linea generale, secondo quanto previsto nell’art. 7,§ 1 del Decreto e nell’art. 15 del Regolamento,l'Interessato ha il diritto di ottenere dal titolare deltrattamento conferma che sia o meno in corso untrattamento di dati personali che lo riguardano.Pertanto, qualora la richiesta riguardi gli archivi,telematici o cartacei (stante il principio della“neutralità tecnologica” della protezione dellepersone fisiche sotto tale profilo, affermata dalConsiderando 15 del Regolamento e implicitamentenell’art. 1, § 2 del Decreto), non sembra possibile, inlinea di massima non dare seguito alla richiesta equindi fornire al richiedente le informazioni di cui al §1 dell’art. 7 del Decreto.

[continua]

58


5° e 6° questione


Domanda OGLR Risposta OGLN CEIArchivi (telematici) parrocchiali e delle diocesi (uffici di Curia):


Archivio segreto (can. 489):


[prosegue]

Qualora la richiesta riguardasse invece la conferma diun trattamento di dati contenuti nell’archivio segreto,la richiesta stessa dovrebbe essere valutata caso percaso. Lo stesso Decreto prevede del resto lapossibilità che i dati rimangano riservati (art. 6, § 5,lett. d) e in alcune ipotesi l’esigenza di noncomunicare immediatamente all’Interessato iltrattamento potrebbe essere connaturata al tipo ditrattamento (si pensi alla valutazione della posizionedell’Interessato legata all’accertamento di una notiziadi reato: l’immediata informativa potrebbe frustrare ilbuon esito dell’indagine).

59


7° questione


Domanda OGLR Risposta OGLN CEIObblighi relativi alla raccolta ed al trattamento deidati all’interno dell’esercizio della funzionegiurisdizionale, compresi i procedimentiamministrativi, (cf. i procedimenti disciplinati dalLibro VII del CIC):

Si chiede conferma che non ci siano mutamentirispetto alla prassi finora osservata.

Non ci sono mutamenti.

60


8° questione


Domanda OGLR Risposta OGLN CEIDati trattati nell’ambito delle attività diverse (ex art.16, lett. b, L. n. 222/85):

Si chiede conferma che oltre al Decreto CEI si debbaapplicare anche la disciplina comune delRegolamento UE.

Confermato.

61


9° questione


Domanda OGLR Risposta OGLN CEIFigura del Rappresentante prevista dal RegolamentoUE:

Si chiede conferma che la sua nomina non implichi ilvenir meno delle responsabilità in capo al Titolaredel trattamento (più precisamente per colui al qualecompete la funzione di amministratore dell’entetitolare del trattamento: il parroco per la parrocchia,o il vescovo diocesano per la diocesi), ma aggiungaun’analoga responsabilità in capo al Rappresentante.

Ritengo che la responsabilità del titolare non vengameno, del resto nel diritto italiano sarebbe semprepossibile a mio avviso richiamare l’art. 2049 c.c. Lanomina del Responsabile potrebbe al massimo«attenuarla».

62


10° questione


Domanda OGLR Risposta OGLN CEIFigura del Responsabile del trattamento prevista dalRegolamento UE:

Si chiede se sia sempre necessaria la sua nomina ose (e quando) sia sufficiente procedere alla nominadei soli “incaricati”, cioè di coloro che all’internodelle parrocchie o delle diocesi possono/devonotrattare i dati raccolti a motivo dell’incaricoprofessionale/volontario assunto.

La nomina non è sempre necessaria, ma rientra nelladiscrezionalità del titolare.

63


Paragrafo VIII

Le (prime) Linee Guida

predisposte dall’Osservatorio Giuridico Legislativo Nazionale.


64


Linee guida: il trattamento.


OGLN CEI Considerazioni OGLRIn primo luogo, occorre considerare che la nozionedi “trattamento” dei dati personali accolta nelRegolamento e nell’aggiornamento del Decreto CEIè piuttosto ampia e che essa in sostanza riguardaqualsiasi operazione riferibile ai dati personali,compiuta con o senza l'ausilio di processiautomatizzati e applicata a dati personali o insiemidi dati personali, come la raccolta, la registrazione,la conservazione, l'uso, la comunicazione mediantetrasmissione, diffusione o qualsiasi altra forma dimessa a disposizione, indipendentemente dal fattoche tali operazioni siano compiute in viaautomatizzata.

Quindi, tutte o quasi le attività abitualmentecompiute nell’ambito di parrocchie e/o diocesi(registri dei sacramenti, elenchi per il catechismo…)devono considerarsi trattamento dei dati personali(art. 1, § 2 e art. 2, Decreto; art. 2, par. 2 e art. 4Regolamento).

Ogniqualvolta la diocesi/parrocchia raccoglie dati nel propriointeresse (ciò accade, per esempio, quando i dati sono acquisitiattraverso gli uffici/servizi riferibili a detti enti: dai sacerdotinell’esercizio del ministero oppure dai collaboratori incaricati) sirealizza un’ipotesi di trattamento.È indifferente che il dato sia richiesto dall’ente oppure sia conferitoper iniziativa dell’Interessato o di un terzo.

65


Linee guida: il consenso informato


OGLN CEI Considerazioni OGLRPerché il trattamento sia lecito deve essere presentealmeno una delle condizioni elencate dall’art. 4, § 1,del Decreto. La condizione più frequente è ilconsenso informato del soggetto Interessato, cioèdel soggetto dei cui dati si tratta (art. 2; art. 4; art. 5Decreto; art. 4; art. 6; art. 7 Regolamento). Taleconsenso deve essere espresso e inequivocabile edeve essere preceduto da una adeguata informativa(v. allegato) (art. 6 Decreto; art. 13; art. 14Regolamento). L’Interessato può sempre revocare ilconsenso al trattamento (art. 5, § 3 Decreto; art. 17;art. 21 Regolamento). Alcuni trattamenti, tuttavia,non trovano la loro base giuridica nel consenso, chepertanto in questi casi non deve essere acquisito (cfr.in tal senso art. 4, § 1, lett. b), c), d), e), f), g) delDecreto). In questo quadro si può ritenere, inparticolare, che non deve essere acquisito ilconsenso in caso di amministrazione di sacramenti oqualora il trattamento sia necessario per accertare,esercitare o difendere un diritto in sede giudiziaria.Dovrebbe essere invece acquisito il consenso in casodi iscrizione a catechismo, di partecipazione a gite, agrest (se si tratta di minore, il consenso di ambeduei genitori).

Quando si raccolgono dati personali e la base giuridica del trattamento è ilConsenso dell’Interessato occorre consegnare l’Informativa. Questoadempimento è prescritto anche se i dati ricevuti non sono relativi allapersona che sottoscrive il Consenso in quanto si riferiscono ad un minore(figlio) o ad un maggiorenne (parente o coniuge).Copia della Informativa deve essere trattenuta dalla persona che haconsegnato i dati personali.Il documento che raccoglie il Consenso (normalmente presente in calceall’Informativa) – debitamente sottoscritto dall’Interessato o da colui che haconsegnato i dati – deve essere accuratamente custodito (anchenell’originale cartaceo) dalla diocesi/parrocchia in quanto rende legittimol’uso dei dati negli anni futuri.

Il Consenso deve far riferimento ad un trattamento necessario per unadeterminata finalità (Considerando 39: «In particolare, le finalità specifichedel trattamento dei dati personali dovrebbero essere esplicite e legittime eprecisate al momento della raccolta di detti dati personali».

Nell’ipotesi che il consenso sia relativo al trattamento dei dati dell’anagrafeparrocchiale è necessario che le attività siano ampie ma non indeterminate.Questo potrebbe essere il modo per indicare tali attività/finalità: «le attivitàdella parrocchia di natura cultuale, pastorale, culturale, ricreative, sportivee simili (per es. catechesi e percorsi di iniziazione cristiana, oratorio, grestestivo ed altre iniziative educative, catechesi e proposte culturali per gliadulti, visita alle famiglie in occasione del Natale/Pasqua …)»

66


Linee guida: il Titolare ed il Responsabile del trattamento


OGLN CEI Considerazioni OGLR (1 di 3)È necessario nominare un “titolare deltrattamento”, cioè il soggetto che determina lefinalità e i mezzi del trattamento (art. 2 Decreto; art.4 Regolamento). Tale soggetto dovrebbe essere diregola il soggetto apicale dell’ente (Vescovo,parroco, …), ma potrebbe anche essere un soggettodiverso, persona fisica o giuridica (Diocesi,parrocchia).Data la ontologica “mutevolezza” del soggettoapicale dell’ente, potrebbe essere preferibilenominare titolare l’ente stesso (nella persona, senzanecessità di dichiararlo espressamente, del suolegale rappresentante pro tempore).Il titolare del trattamento può nominare, concontratto o altro valido atto giuridico, un“responsabile del trattamento”, colui cioè che trattadati personali per conto del titolare del trattamento(art. 2; art. 15 Decreto; art. 4; art. 28 Regolamento).Tale nomina, tuttavia, non comporta l’esonero deltitolare da eventuali responsabilità.

È decisivo individuare il «Titolare del trattamento».Per l’ordinamento il Titolare del trattamento è colui che determina «lefinalità ed i mezzi del trattamento» e può essere un soggetto giuridicooppure una persona fisica.

Dunque, sono i fatti e le circostanze che permettono di individuare il Titolare.Un esempio: la diocesi organizza un corso per i catechisti e chiede ad unente diocesano (fondazione di culto) di provvedere agli adempimentiburocratici (raccolta iscrizioni e raccolta quota di adesione).

1° ipotesi: l’ente diocesano si limita ad assicurare i servizi ma non intendeassumere la veste di titolare dell’attività; in tale caso il Titolare èla diocesi e la Fondazione assume il ruolo di Responsabile deltrattamento.

2° ipotesi: l’ente diocesano assume la veste di titolare dell’attività: in tal casol’ente diocesano è Titolare del trattamento e non emerge alcunsoggetto con il ruolo di Responsabile del Trattamento.

67




OGLN CEI Considerazioni OGLR (2 di 3)È necessario nominare un “titolare deltrattamento”, cioè il soggetto che determina lefinalità e i mezzi del trattamento (art. 2 Decreto; art.4 Regolamento). Tale soggetto dovrebbe essere diregola il soggetto apicale dell’ente (Vescovo,parroco, …), ma potrebbe anche essere un soggettodiverso, persona fisica o giuridica (Diocesi,parrocchia).Data la ontologica “mutevolezza” del soggettoapicale dell’ente, potrebbe essere preferibilenominare titolare l’ente stesso (nella persona, senzanecessità di dichiararlo espressamente, del suolegale rappresentante pro tempore).Il titolare del trattamento può nominare, concontratto o altro valido atto giuridico, un“responsabile del trattamento”, colui cioè che trattadati personali per conto del titolare del trattamento(art. 2; art. 15 Decreto; art. 4; art. 28 Regolamento).Tale nomina, tuttavia, non comporta l’esonero deltitolare da eventuali responsabilità.

Le persone fisiche che costituiscono l’organo amministrativo e l’ufficio dilegale rappresentante non sono qualificabili né come Titolare deltrattamento, né come Responsabile del trattamento in quanto sono – piùsemplicemente – gli organi funzionali dell’ente.

Il Responsabile del trattamento non può essere confuso con gli “incaricati”dell’ente Titolare del trattamento che materialmente trattano i dati acquisiti(addetti alla segreteria, coadiutore, religiosi dell’Istituto, collaboratori diCuria), che è opportuno nominare in modo formale con una lettera che inqualche modo definisca il perimetro dei trattamenti ad essi affidati.

Il Titolare del trattamento deve indicare attraverso l'Informativa una mailaffinchè l'Interessato possa rivolgere all'ente Titolare richieste e domande.È opportuno che la persona fisica deputata a questo servizio non sia il legalerappresentante.

68




OGLN CEI Considerazioni OGLR (3 di 3)È necessario nominare un “titolare deltrattamento”, cioè il soggetto che determina lefinalità e i mezzi del trattamento (art. 2 Decreto;art. 4 Regolamento). Tale soggetto dovrebbeessere di regola il soggetto apicale dell’ente(Vescovo, parroco, …), ma potrebbe anche essereun soggetto diverso, persona fisica o giuridica(Diocesi, parrocchia).Data la ontologica “mutevolezza” del soggettoapicale dell’ente, potrebbe essere preferibilenominare titolare l’ente stesso (nella persona,senza necessità di dichiararlo espressamente, delsuo legale rappresentante pro tempore).Il titolare del trattamento può nominare, concontratto o altro valido atto giuridico, un“responsabile del trattamento”, colui cioè chetratta dati personali per conto del titolare deltrattamento (art. 2; art. 15 Decreto; art. 4; art.28 Regolamento). Tale nomina, tuttavia, noncomporta l’esonero del titolare da eventualiresponsabilità.

Il Responsabile del trattamento è una figura che “emerge” – sempre –quando alcuni trattamenti sono chiesti ad un ente/soggetto diverso dalTitolare (per es. studio paghe, commercialista, servizio di spedizioni,assicuratore, servizio cloud/hosting). In questi casi è necessario formalizzarela nomina del Responsabile del trattamento (probabilmente i formatdell’incarico sono predisposti dagli stessi operatori commerciali e per questomotivo devono essere attentamente esaminati).In breve, se non c’è trattamento in outsourcing (in quanto tutti i trattamentiavvengono all’interno dell’ente) manca la circostanza per poter nominare ilResponsabile del trattamento, secondo la disciplina dettata dal RegolamentoUE.È, però possibile, che l'amministratore dell'ente Titolare incarichi (in forza di uncontratto di lavoro o di una delega o di una procura notarile) un collaboratore(interno o esterno) per curare l'adempimento concreto degli obblighi connessialla privacy; tale soggetto rappresenta l'ente titolare, ma non assume il ruolodi «Responsabile del trattamento» (inteso in senso proprio)

Alla luce della normativa vigente, né il Responsabile del trattamento, né gliincaricati (interni) «sollevano» l’organo amministrativo dell’ente Titolare deltrattamento da responsabilità.Pertanto, se il vescovo affida formalmente ad un collaboratore di Curial’incarico di provvedere agli adempimenti privacy nella Curia diocesana,continua a mantenere su di sé tutte le responsabilità previste dalla normativae – nel contempo – grava delle stesse anche la persona incaricata.Per chiarezza: non scatta il meccanismo che – diversamente – il D.Lgs. n. 81/08ha esplicitamente previsto e disciplinato all’art. 16. 69


Linee guida: i diritti dell’Interessato


OGLN CEI Considerazioni OGLRAi sensi dell’art. 8, § 5, del Decreto generale“Chiunque ha diritto di chiedere e ottenere,personalmente o mediante un procuratorelegittimamente nominato, certificati, estratti,attestati, ovvero copie fotostatiche o autentiche deidocumenti contenenti dati che lo riguardano (20),alle condizioni previste dal regolamento di cui al § 2.Sono esclusi i dati che, non provenendo dalrichiedente, sono coperti da segreto stabilito perlegge o per regolamento ovvero non sono separabilida quelli che concernono terzi e la cui riservatezzaesige tutela. L'Interessato in ogni caso non ha dirittodi ispezione dei dati del registro e dei dati sottrattialla sua conoscenza”.Certificati, estratti, attestati dovrebbero esserequindi richiesti o dal diretto Interessato (o dai suoilegali rappresentanti, se minore), o da un suodelegato.Non sembra si possa dare seguito a richiesteprovenienti da altri soggetti privi di delega(esempio, nonni che chiedano, a prescindere da unadelega dei genitori del minore, certificati riguardantiil minore stesso).

Si tratta, di fatto, di un diritto relativo ai soli dati presenti (trattati) neiRegistri canonici in quanto manca un concreto interesse ad avere copia didati trattati in archivi e schedari.Stante il sistema normativo vigente, è difficile negare legittimamente aduna persona il diritto di ottenere la copia degli atti di battesimo ematrimonio, eccependo il fatto che in essi sono indicati anche altrepersone (salvo il caso di annotazioni particolari, quale – per esempio –l’avvenuta adozione).

Nel contempo non è riconosciuto il diritto di poter avere copia degli atti dibattesimo/matrimonio di altre persone (di norma parenti) evocando il fattoche si tratta di eventi assai datati (per esempio di oltre 70 anni).Infatti il Decreto CEI prevede all’art. 8, § 5 che «L'Interessato in ogni casonon ha diritto di ispezione dei dati del registro e dei dati sottratti alla suaconoscenza» e – al § 7 che «L'Interessato in ogni caso non ha diritto diispezione dei dati del registro e dei dati sottratti alla sua conoscenza».

70


Linee guida: comunicazione dei dati tra parrocchia e diocesi


OGLN CEI Considerazioni OGLRSembra si possa ritenere ammissibile lacomunicazione di dati Diocesi‐Diocesi, Diocesi‐parrocchia, parrocchia‐Diocesi e parrocchia‐parrocchia, in quanto declinazione della libertà diorganizzazione del culto, nonché di comunicazionesancita dall’accordo del 1984.Anche altri indici normativi inseriti nel RegolamentoUE (cfr. Considerando 47 e 48; art. 6, c. 1, lett. f) e c.4, spec. lett. a), Considerando 51; art. 9, c. 2, lett. d)sembrano avallare tale interpretazione.

Si tratta, anzitutto, dei dati destinati ai Registri canonici. A tal proposito siveda il i§ 4 dell’art. 8 del Decreto CEI: «§ 4. La comunicazione di datidestinati ad altro registro può essere inoltrata dalla persona interessata odal titolare del trattamento che deve utilizzare i dati richiesti e può essereeffettuata per consegna diretta, o per posta, o – nei casi urgenti e con leopportune cautele ¬ per fax, o per posta elettronica. Quando lacomunicazione è destinata all'estero occorre la vidimazione della curiadiocesana».

Considerato la ratio sottostante e gli interessi di natura pubblica coinvolti,si deve dubitare che tale comunicazione possa avere ad oggetto anche lefotografie/video acquisite in modo legittimo dalle parrocchie e trasferiteagli uffici di Curia per la loro pubblicazione sui siti/riviste diocesani.

71


Linee guida: il Responsabile della protezione dei dati


OGLN CEI Considerazioni OGLRSe il trattamento si svolge su “larga scala” (il Decreto non definisce la nozionedi larga scala, che deve essere quindi valutata nel caso concreto. IlRegolamento fornisce un orientamento al Considerando 91. A ogni modo, ilWP29, organo consultivo dell’UE per la materia della Privacy, raccomanda ditenere conto, in particolare, al fine di stabilire se un trattamento sia effettuatosu larga scala, dei seguenti elementi: a. il numero di soggetti interessati daltrattamento, in termini assoluti ovvero espressi in percentuale dellapopolazione di riferimento; b. il volume dei dati e/o le diverse tipologie di datioggetto di trattamento; c. la durata, ovvero la persistenza, dell'attività ditrattamento; d. la portata geografica dell'attività di trattamento) o appare diparticolare delicatezza (questo criterio, secondo il WP29, include categorieparticolari di dati personali così come definite all'articolo 9 del Regolamento,ad esempio informazioni sulle opinioni politiche delle persone) deve esserenominato un “responsabile della protezione dei dati” (art. 18 Decreto; art. 37;art. 38; art. 39 Regolamento). Il responsabile della protezione dei dati puòessere alle dipendenze del titolare del trattamento o del responsabile deltrattamento o essere un professionista esterno.Tra i compiti del responsabile per la protezione dei dati (specificamente indicatinel Decreto) vi è quello di informare e fornire consulenza al titolare deltrattamento e al responsabile del trattamento e ai dipendenti che effettuano iltrattamento dei dati personali in merito ai loro obblighi in materia di protezionedei dati, sorvegliare l'osservanza del Decreto e delle politiche del titolare deltrattamento o del responsabile del trattamento in materia di protezione dei datipersonali.

Non si deve confondere il Responsabile dellaprotezione dei dati con il Responsabile deltrattamento.Infatti, le circostanze cheimpongono/permettono di nominare unsoggetto Responsabile del trattamento(trattamenti in outsourcing) sonoradicalmente diverse da quelle checonsentono di nominare un soggettoResponsabile della protezione dei dati.

72


Linee guida: il Registro delle attività di trattamento


OGLN CEI Considerazioni OGLR (1 di 3)Deve essere tenuto un “registro delleattività di trattamento”, anche informato elettronico, che contiene leseguenti informazioni: a) il nome e idati di contatto del titolare deltrattamento e, ove presenti, delrappresentante del titolare deltrattamento e del responsabile dellaprotezione dei dati; b) le finalità deltrattamento; c) una descrizione dellecategorie di interessati e dellecategorie di dati personali; d) lecategorie di destinatari a cui i datipersonali sono stati o sarannocomunicati, compresi i destinatari dipaesi terzi diversi od organizzazioniinternazionali; e) ove possibile, unadescrizione generale delle misure disicurezza tecniche e organizzative(art. 19 Decreto; art. 30Regolamento).

È sempre necessario (ma non è sufficiente) per dimostrare che si è provveduto in modoadeguato a due obblighi fondamentali cui è tenuto il Titolare del trattamento:

Articolo 13 ‐ Conservazione dei dati § 1. Il titolare del trattamento è tenuto all’osservanza delle norme canoniche riguardanti ladiligente custodia, l’uso legittimo e la corretta gestione dei dati personali. § 2 Tenendoconto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, delcontesto e delle finalità del trattamento, il titolare del trattamento, salvo quanto previstoal § 2 dell’articolo 14, mette in atto misure tecniche e organizzative appropriate pergarantire un livello di sicurezza adeguato. Nel valutare l'adeguato livello di sicurezza sitiene conto in special modo dei rischi presentati dal trattamento che derivano inparticolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione nonautorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi,conservati o comunque trattati.

Articolo 14 ‐ Sicurezza del trattamento § 1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità deltrattamento, il titolare del trattamento mette in atto misure tecniche e organizzativeadeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuatoconformemente al presente decreto e alle norme canoniche. Dette misure sonoriesaminate e aggiornate qualora necessario. Se ciò è proporzionato rispetto alle attivitàdi trattamento, le misure di cui al presente § includono l'attuazione di politiche adeguatein materia di protezione dei dati da parte del titolare del trattamento.

73





Inoltre, in tutti i casi in cui si deve osservare la normativa del Regolamento UE, lapredisposizione del Registro è necessaria (ma non è sufficiente) per dimostrare che si èprovveduto in modo adeguato ad un obbligo fondamentale cui è tenuto il Titolare deltrattamento:

Articolo 25 ‐ Protezione dei dati fin dalla progettazione e protezione per impostazionepredefinita1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche deirischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisichecostituiti dal trattamento, sia al momento di determinare i mezzi del trattamento siaall’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche eorganizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace iprincipi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento lenecessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare idiritti degli interessati.

Considerando 82.Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o ilresponsabile del trattamento dovrebbe tenere un registro delle attività di trattamentoeffettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari deltrattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e amettere, su richiesta, detti registri a sua disposizione affinché possano servire permonitorare detti trattamenti.

74





Il Registro dovrebbe avere due sezioni, una per i trattamenti realizzati osservando il soloDecreto CEI, una per i trattamenti realizzati osservando anche il Regolamento UE.Il Registro non riguarda i soli dati custoditi in archivi informatici, ma anche in quellicartacei.La complessità e l’articolazione del Registro delle attività di trattamento riflette lacomplessità e l’articolazione delle attività svolte dal Titolare del trattamento e lamolteplicità di tipologie dei dati raccolti e la molteplicità delle situazioni che esigono laraccolta/trattamento dei dati.Diversa è l’attività di una Curia diocesana dall’attività di una piccola parrocchia che tratta idati personali solo in riferimento alla compilazione dei Registri canonici e dell’attività dicatechesi; diversa è la complessità di quest’ultima parrocchia da quella di una parrocchiache gestisce un grande oratorio, una scuola parrocchiale ed una sala della Comunità.

Probabilmente può essere opportuno far elaborare degli schemi standard del Registro delleattività di trattamento elaborati a partire da una analisi/visita di alcune parrocchie tipo.

75




OGLN CEI Considerazioni OGLRUna particolare attenzione deve essere prestataper assicurare l'inviolabilità degli archivi, speciequalora si tratti di archivi informatici. L'archiviodeve essere dotato di un sistema di chiusura chegarantisca una sufficiente sicurezza da tentativi difurto e di scasso. Le chiavi dell'archivio devonoessere custodite personalmente e accuratamentedal titolare del trattamento. Spetta al titolare deltrattamento autorizzare agli estranei l'accesso aidati. Il titolare del trattamento deve denunciarequanto prima all'autorità ecclesiasticacompetente e, se del caso, anche all'autoritàcivile, ogni incursione nell'archivio che abbiacausato sparizione, sottrazione odanneggiamento di registri, atti, documentipubblici, elenchi e schedari contenenti datipersonali. Il titolare del trattamento devedocumentare qualsiasi violazione dei datipersonali, comprese le circostanze in cui si èverificata, le sue conseguenze e i provvedimentiadottati per porvi rimedio (art. 2; art. 13; art. 14Decreto; art. 4; art. 32; art. 33; art. 34Regolamento).

La diffusione degli archivi in cloud e dei terminali presenti in parrocchia,rende urgente assicurare che non siano accessibili ai non autorizzati,utilizzando appositi programmi informatici.A tal proposito si vedano gli artt. 13, § 2, 14 e 16 del Decreto CEI.

Inoltre è necessario che una parrocchia possa facilmente graduarel’accessibilità agli archivi dei dati, in riferimento alle responsabilità/ruoliaffidati ai diversi collaboratori.

76




OGLN CEI Considerazioni OGLRSono previste sanzioni, di non poco rilievo (art. 23Decreto; art. 82; art. 83, art. 84 Regolamento).

Le sanzioni sono significative.Tuttavia il primo deterrente che urge l’osservanza «in buona fede» delDecreto CEI e – se del caso – del Regolamento UE sono le richieste degliinteressati che chiedono il rispetto dei diritti loro riconosciuti.Quindi, il primo motivo per cui è conveniente «essere in regola» inriferimento alla privacy è la possibilità di rendere conto in modo semplice etempestivo dei comportamenti/azioni adottati.

77


Linee guida: indicazioni per la redazione dell’Informativa di trattamento


Osservatorio Giuridico Legislativo Nazionale della CEIINDICAZIONI PER LA REDAZIONE DELL’INFORMATIVA

Il titolare del trattamento deve fornire all'Interessato tutte le informazioni di seguito indicate in forma concisa, trasparente,intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite per iscritto o conaltri mezzi, anche, se del caso, elettronici. In caso di raccolta presso l'Interessato, il titolare del trattamento, nel momentoin cui i dati personali sono ottenuti, rende noto all’Interessato che i dati saranno trattati nel pieno rispetto della normativacanonica e civile e gli fornisce le seguenti informazioni:a) l'identità e i dati di contatto del titolare del trattamento;b) i dati di contatto del responsabile della protezione dei dati, ove designato;c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento (indicata nel

decreto, per esempio, il trattamento è necessario per adempiere un obbligo, previsto dalle norme canoniche o dallenorme civili, al quale il titolare del trattamento è soggetto);

d) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali.

Inoltre il titolare del trattamento trasmette le informazioni relative a:a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale

periodo;b) l'esistenza del diritto dell'Interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la

cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento;c) il diritto di proporre reclamo a un'autorità di controllo;d) se l'Interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di

tali dati;e) l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata

sul consenso prestato prima della revoca.78


Paragrafo IX

Le informazioni da trasmettere all’Interessato per acquisire

il suo Consenso informato

(da non confondersi con il contenuto dell’Informativa)

Le informazioni da trasmettere all’Interessato per acquisire il suo Consenso informato

79


Le informazioni necessarie per aversi un effettivo Consenso informatoart. 4 del Decreto CEI Considerando 42 del Regolamento UE§ 1. Il trattamento è lecito in presenza di almeno una delleseguenti condizioni:

l'Interessato, o l’esercente la responsabilità genitorialesull'Interessato qualora minore, hanno espressoliberamente, specificamente, in maniera informata einequivoca, mediante dichiarazione o azione positivainequivocabile, il consenso al trattamento dei dati personalidell'Interessato per una o più specifiche finalità. Ai fini di unconsenso informato, l'Interessato deve essere posto aconoscenza almeno dell'identità del titolare del trattamento edelle finalità del trattamento cui sono destinati i datipersonali;

Per i trattamenti basati sul consenso dell’Interessato, iltitolare del trattamento dovrebbe essere in grado didimostrare che l’Interessato ha acconsentito al trattamento.In particolare, nel contesto di una dichiarazione scrittarelativa a un’altra questione dovrebbero esistere garanzieche assicurino che l’Interessato sia consapevole del fatto diesprimere un consenso e della misura in cui ciò avviene.In conformità della direttiva 93/13/CEE del Consiglio (10) èopportuno prevedere una dichiarazione di consensopredisposta dal titolare del trattamento in una formacomprensibile e facilmente accessibile, che usi un linguaggiosemplice e chiaro e non contenga clausole abusive. Ai fini diun consenso informato, l’Interessato dovrebbe essere posto aconoscenza almeno dell’identità del titolare del trattamentoe delle finalità del trattamento cui sono destinati i datipersonali. Il consenso non dovrebbe essere consideratoliberamente espresso se l’Interessato non è in grado dioperare una scelta autenticamente libera o ènell’impossibilità di rifiutare o revocare il consenso senzasubire pregiudizio.


80


Dunque: nei casi in cui la norma riconosce la liceità del trattamento sulla base del«consenso informato», il Titolare del trattamento deve previamente comunicareall’Interessato almeno:

a) l'identità del Titolare del trattamento,b) le finalità del trattamento cui sono destinati i dati personali.

Se il consenso raccolto "non è informato" – o il Titolare non ha la possibilità di provare di

aver dato le informazioni – il consenso si ritiene come non dato … e questa circostanza

rende illecito il trattamento.


81


È, dunque, opportuno che il modulo utilizzato per acquisire i dati personali riporti – prima dellaformula che esprime il Consenso informato (che deve essere sottoscritta dall’Interessato) – ledue informazioni prescritte dalla normativa:a) i dati che permettono di individuare il Titolare del trattamento (l’ente che acquisisce i

dati),b) le finalità del trattamento che rendono necessario acquisire i dati (per es. «le attività di

oratorio e il percorso di iniziazione cristiana» oppure «il grest e le vacanze estive», oppure«la stagione teatrale», oppure «i servizi resi dalla scuola dell’infanzia parrocchiale» …).

Questa è la soluzione minima prescritta dalla normativa affinché il trattamento basato sulConsenso informato (compresa l’acquisizione) sia lecito.


N.B. Sia il Regolamento UE, sia il Decreto CEI prescrivono – a pena di sanzioni – che il Titolarecomunichi all’Interessato (salvo casi di esenzione) anche altre informazioni.

Per quest’ultimo motivo la questione della formula da premettere al Consenso (informato)deve essere affrontata tenendo conto anche di quanto si dirà alle slides nn. 86 – 93 (cf. art. 12,13 e 14 del Regolamento UE e art. 6 Decreto CEI 2018).

82


Al fine di evitare errori occorre ricordare che non è considerata lecita un’unica manifestazionedi «Consenso informato» per autorizzare tutti i possibili tipi di trattamento (per es. quellorelativo all’attività per la quale si conferiscono i dati, quello relativo alla pubblicazione dei datisulle pagine web del Titolare, quello per autorizzare la comunicazione dei dati ad altri soggetti,quello volto ad autorizzare il trattamento dei dati per altre finalità …).

Sul tema è eloquente il Considerando n. 43 del Regolamento UE: «[…] Si presume che ilconsenso non sia stato liberamente espresso se non è possibile esprimere un consenso separatoa distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o sel’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consensosebbene esso non sia necessario per tale esecuzione».


N.B. Sia il Regolamento UE, sia il Decreto CEI prescrivono – a pena di sanzioni – che il Titolarecomunichi all’Interessato (salvo casi di esenzione) anche altre informazioni.

Per quest’ultimo motivo la questione della formula da premettere al Consenso (informato)deve essere affrontata tenendo conto anche di quanto si dirà alle slides nn. 86 – 93 (cf. art. 12,13 e 14 del Regolamento UE e art. 6 Decreto CEI 2018).

83


Esempi di formula «minimale» per acquisire il Consenso informato in ordine al trattamento di dati personali raccolti conmodulistica predisposta dall’ente ecclesiastico (fatto salvo quanto indicato nel N.B. della slides precedente).


Per le ipotesi in cui si applica SOLO il Decreto CEI 2018 Per le ipotesi in cui si applica ANCHE il Regolamento UE

Premesso che ai sensi dell’art. 4 del Decreto CEI 2018 ènecessario che l’Interessato abbia conoscenza che:a) il Titolare del trattamento è la parrocchia dei SS.

Ambrogio e Martino con sede in Cairate (VA), ViaCorridoni, 15,

b) i dati personali acquisiti saranno trattati SOLO al fine diconsentire la partecipazione alle attività di religione oculto organizzate per i ragazzi e i giovani,

Io sottoscritto/a, acquisite le predette informazioni fornite dalTitolare del trattamento ai sensi dell'articolo 6 del Decreto CEI2018, presto il consenso al trattamento dei dati personali soprariportati, ai sensi e per gli effetti dell’art. 4, lett. a).Attesto, inoltre, di avere ricevuto l’Informativa prescrittadall’art. 6 del Decreto CEI.

Luogo e data … Firma dell’Interessato

Premesso che ai sensi dell’art. 4 del Decreto CEI 2018 edell’art. 6, co. 1, lett. a) e del Considerando 42 delRegolamento UE 2016/679 è necessario che l’Interessatoabbia conoscenza che:a) il Titolare del trattamento è la parrocchia dei SS.

Ambrogio e Martino con sede in Cairate (VA), ViaCorridoni, 15,

b) i dati personali acquisiti saranno trattati al fine diconsentire la partecipazione alle attività educative ericreative organizzate per i ragazzi e i giovani,

Io sottoscritto/a, acquisite le predette informazioni fornite dalTitolare del trattamento ai sensi delle norme sopra indicatepresto il consenso al trattamento dei dati personali soprariportati, ai sensi e per gli effetti dell’art. 4, lett. a) del DecretoCEI e dell’art. 6, co. 1, lett. a) del Regolamento UE.Attesto, inoltre, di avere ricevuto l’Informativa prescrittadall’art. 13 del Regolamento UE e dall’art. 6 del Decreto CEI.

Luogo e data … Firma dell’Interessato

84


Paragrafo X

Le informazioni da trasmettere all’Interessato

per consentirgli di esercitare i propri diritti

(cosiddetta Informativa)

Le informazioni da trasmettere all’Interessato per consentirgli di esercitare i propri diritti

85



Si tratta di un adempimento fondamentale prescritto anche per i trattamenti che non sono basati sul Consenso informato.

Art. 6 del Decreto CEI Art. 12 del Regolamento UE§ 1. Il titolare del trattamento adotta misure appropriate perfornire all'Interessato tutte le informazioni di cui ai §§ 4 e 5del presente articolo e le comunicazioni di cui agli articoli 7 e8 del Decreto relative al trattamento in forma concisa,trasparente, intelligibile e facilmente accessibile, con unlinguaggio semplice e chiaro, in particolare nel caso diinformazioni destinate specificamente ai minori. Leinformazioni sono fornite per iscritto o con altri mezzi,anche, se del caso, con mezzi elettronici. Se richiestodall'Interessato, le informazioni possono essere forniteoralmente, purché sia comprovata con altri mezzi l'identitàdell'Interessato.

1. Il titolare del trattamento adotta misure appropriate perfornire all’Interessato tutte le informazioni di cui agli articoli13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 eall’articolo 34 relative al trattamento in forma concisa,trasparente, intelligibile e facilmente accessibile, con unlinguaggio semplice e chiaro, in particolare nel caso diinformazioni destinate specificamente ai minori. Leinformazioni sono fornite per iscritto o con altri mezzi,anche, se del caso, con mezzi elettronici. Se richiestodall’Interessato, le informazioni possono essere forniteoralmente, purché sia comprovata con altri mezzi l’identitàdell’Interessato.


86


I tempi per trasmettere queste informazioni sono diversi e dipendono dal fatto che i dati siano stati raccolti dall’Interessato o attraverso un’altra persona

Decreto CEI Regolamento UEArt. 6§ 4. In caso di raccoltapresso l'Interessato, iltitolare del trattamento,nel momento in cui i datipersonali sono ottenuti,rende noto all’Interessatoche i dati saranno trattatinel pieno rispetto dellanormativa canonica e glifornisce le seguentiinformazioni:

Art. 6§ 5. Qualora i dati non siano statiottenuti presso l'Interessato, iltitolare del trattamento fornisceall'Interessato le informazioni di cuial § 2 del presente articolo e leinformazioni sulla fonte diprovenienza dei dati.La trasmissione delle informazionideve aver luogo entro un temporagionevole dal conseguimento deidati personali – al più tardi entro unmese – considerando le circostanzedel trattamento dei dati personali.

Art. 131. In caso di raccoltapresso l’Interessato di datiche lo riguardano, iltitolare del trattamentofornisce all’Interessato, nelmomento in cui i datipersonali sono ottenuti, leseguenti informazioni:

Art. 141. Qualora i dati non siano statiottenuti presso l’Interessato, il titolaredel trattamento fornisceall’Interessato le seguentiinformazioni:3. Il titolare del trattamento forniscele informazioni di cui ai paragrafi 1 e2:a) entro un termine ragionevole

dall’ottenimento dei dati personali,ma al più tardi entro un mese, inconsiderazione delle specifichecircostanze in cui i dati personalisono trattati;

b) nel caso in cui i dati personalisiano destinati alla comunicazionecon l’Interessato, al più tardi almomento della primacomunicazione all’Interessato;oppure

c) nel caso sia prevista lacomunicazione ad altrodestinatario, non oltre la primacomunicazione dei dati personali.


87


I tempi per trasmettere queste informazioni sono diversi e dipendono dal fatto che i dati siano stati raccolti dall’Interessato o attraverso un’altra persona.

Il Garante della Privacy ribadisce che l’informativa deve essere consegnata prima di acquisire i dati, qualora essi sianoforniti dall’Interessato:

QUANDO

L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del Regolamento) deve essere fornita all’Interessato primadi effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’Interessato: articolo13 del Regolamento).

Nel caso di dati personali non raccolti direttamente presso l’Interessato (articolo 14 del Regolamento), l’informativadeve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momentodella comunicazione (non della registrazione) dei dati (a terzi o all’Interessato) (diversamente da quanto prevedeval’articolo 13, comma 4, del Codice).


88


I principali requisiti e contenuti dell’Informativa all’Interessato sono:

1. la responsabilità della «consegna» dell’Informativa grava sul Titolare del trattamento,

2. la forma ordinaria è quella scritta (anche attraverso «mezzi elettronici»),

3. è ammessa la forma orale, ma occorre poter dimostrare che si è adempiuto a questo obbligo (forma

sconsigliata),

4. il testo della Informativa deve essere «conciso, trasparente, intelligibile e facilmente accessibili, con

linguaggio semplice e chiaro» (si tenga presente la situazione degli interessati che non comprendono in modo sufficiente la lingua italiana).

Queste caratteristiche sono prescritte sia dal Regolamento UE, sia dal Decreto Generale della CEI


89


Circa i contenuti dell’Informativa occorre prima appurare se il trattamento è soggetto solo al Decreto CEI


Trattamenti soggetti al solo Decreto CEI (art. 6)(sia quando i dati provengono dall’Interessato, sia quando provengono da altri)1. l'identità e i dati di contatto del titolare del trattamento;2. i dati di contatto del responsabile della protezione dei dati, ove designato ai sensi dell'articolo 18 del Decreto;3. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento ai sensi dell'articolo 4 del

Decreto;4. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

5. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;6. l'esistenza del diritto dell'Interessato di chiedere al titolare del trattamento l'accesso ai dati personali ai sensi dell'articolo 7, § 1 e la

rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento ai sensi dei§§ 2 e 3 dell’articolo 7 e del § 8 dell'articolo 8 del Decreto;

7. il diritto di proporre reclamo all'autorità di controllo;8. se l'Interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;9. l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso

prestato prima della revoca, salvo quanto previsto dall’articolo 8, § 8, del Decreto.

90


Circa i contenuti dell’Informativa occorre prima appurare se il trattamento è soggetto anche al Regolamento UE


Trattamenti soggetti anche al Regolamento UE(dati raccolti presso l’Interessato)

Trattamenti soggetti anche al Regolamento UE (dati NON raccolti presso l’Interessato)

1. l’identità e i dati di contatto del titolare del trattamento […];2. […];3. le finalità del trattamento cui sono destinati i dati personali nonché la

base giuridica del trattamento;4. qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i

legittimi interessi perseguiti dal titolare del trattamento o da terzi;5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati

personali;6. […].

1. il periodo di conservazione dei dati personali oppure, se non è possibile,i criteri utilizzati per determinare tale periodo;

2. l’esistenza del diritto dell’Interessato di chiedere al titolare deltrattamento l’accesso ai dati personali e la rettifica o la cancellazionedegli stessi o la limitazione del trattamento che lo riguardano o diopporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

3. […] l’esistenza del diritto di revocare il consenso in qualsiasi momentosenza pregiudicare la liceità del trattamento basata sul consensoprestato prima della revoca;

4. il diritto di proporre reclamo a un’autorità di controllo;5. se la comunicazione di dati personali è un obbligo legale o contrattuale

oppure un requisito necessario per la conclusione di un contratto, e sel’Interessato ha l’obbligo di fornire i dati personali nonché le possibiliconseguenze della mancata comunicazione di tali dati;

6. l’esistenza di un processo decisionale automatizzato […].

1. l’identità e i dati di contatto del titolare del trattamento […];2. […];3. le finalità del trattamento cui sono destinati i dati personali nonché la

base giuridica del trattamento;4. le categorie di dati personali in questione;5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati

personali;6. […].

1. il periodo di conservazione dei dati personali oppure, se non è possibile,i criteri utilizzati per determinare tale periodo;

2. qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), ilegittimi interessi perseguiti dal titolare del trattamento o da terzi;

3. l’esistenza del diritto dell’Interessato di chiedere al titolare deltrattamento l’accesso ai dati personali e la rettifica o la cancellazionedegli stessi o la limitazione del trattamento dei dati personali che loriguardano e di opporsi al loro trattamento, oltre al diritto allaportabilità dei dati;

4. […] l’esistenza del diritto di revocare il consenso in qualsiasi momentosenza pregiudicare la liceità del trattamento basata sul consenso primadella revoca;

5. il diritto di proporre reclamo a un’autorità di controllo;6. la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità

che i dati provengano da fonti accessibili al pubblico;7. l’esistenza di un processo decisionale automatizzato, […].

91


L’Osservatorio Giuridico Legislativo Nazionale ha predisposto una traccia di Informativa

Il trattamento dei dati personali acquisiti dalla Diocesi/Parrocchia ... [inserire nome dell’ente Diocesi/Parrocchia], ente ecclesiastico civilmente riconosciuto,avverrà nel rispetto delle garanzie previste dall’ordinamento canonico (Decreto generale della Conferenza Episcopale Italiana del 25 maggio 2018) e tenutoconto della normativa statuale, precisandosi:a) il trattamento dei dati è improntato ai principi di correttezza, liceità, lealtà e tutela della riservatezza;b) i dati personali acquisiti verranno trattati al fine di attuare le finalità istituzionali della Diocesi/Parrocchia stessa, per il tempo a ciò necessario, e potranno

essere comunicati, per realizzare tali finalità, ad altri enti della Chiesa cattolica, come le Diocesi ed altre Parrocchie;c) i dati acquisiti verranno inseriti nei registri, negli archivi, negli elenchi e schedari, cartacei e informatici della Diocesi/Parrocchia;d) con il consenso del titolare, i dati acquisiti potranno: (i) essere pubblicati negli annuari e bollettini predisposti dalla Diocesi/Parrocchia e da enti o

organismi alla stessa collegati; (ii) essere pubblicati sul sito internet della Diocesi/Parrocchia e di enti o organismi alla stessa collegati; (iii) esserecomunicati per finalità ulteriori rispetto a quelle istituzionali, per esempio informative o promozionali, ad altri soggetti ed enti della Chiesa cattolicaovvero alla stessa aderenti; (iv) essere trattati al fine della preparazione, organizzazione e gestione di eventi, con possibilità della loro comunicazione aglienti che cooperano alla realizzazione degli eventi stessi (enti ecclesiastici, amministrazioni pubbliche, alberghi, società di servizi, ecc.);

e) il conferimento dei dati è obbligatorio per consentire alla Diocesi/Parrocchia di svolgere le proprie attività istituzionali, mentre è facoltativo per altreattività (ad esempio informative e promozionali);

f) titolare del trattamento è la Diocesi/Parrocchia … [inserire nome], con sede in … [inserire indirizzo e “dati di contatto”, ossia i dati che consentono dicontattare il titolare del trattamento; dire se è nominato responsabile della protezione dei dati e inserire dati di contatto];

g) l’Interessato può esercitare i diritti di accesso, integrazione, correzione, annotazione, opposizione e cancellazione dei propri dati, nonché chiedere lalimitazione del trattamento, salvo quanto previsto nell’art. 8, § 8, del Decreto generale del 25 maggio 2018, scrivendo al titolare/responsabile deltrattamento dei dati;

h) l’Interessato ha diritto a revocare il proprio consenso, salvo quanto previsto nell’art. 8, § 8, del Decreto generale del 25 maggio 2018, e salvo quantoprevisto alla lett. e) della presente informativa;

i) l’Interessato ha diritto di presentare reclamo all’autorità di controllo;j) i dati sono trattati, manualmente ed elettronicamente, dal titolare del trattamento, dal responsabile del trattamento, e dai responsabili e incaricati

preposti a servizi connessi; sono sottoposti a idonee procedure di sicurezza e, salvo il suo consenso, non sono comunicati né diffusi né trasferitiall’esterno.


92


Questa traccia è elaborata alla luce di quanto disposto dal SOLO Decreto CEI 2018.

Pertanto, è utilizzabile in tutti i casi di raccolta (e, conseguente, trattamento) dei dati personali che può essere assoggettata al SOLO Decreto CEI 2018

Quando, invece, la raccolta (ed il conseguente trattamento) avviene nell’osservanza ANCHE del Regolamento UE* occorre che il testo sia conforme

anche agli artt. 13 e 14 del suddetto Regolamento UE.

* Si vedano le slides nn. 13 – 23.


93


Paragrafo XI

Le formule per esprimere il Consenso informato


94


Come anticipato, sia il Regolamento UE che il Decreto CEI escludono la possibilità di acquisire un’unica manifestazione di Consenso per una serie generica, aperta di trattamenti

(per semplicità il cosiddetto «consenso omnibus»)

Infatti il trattamento è legittimo quando


Decreto CEI Regolamento UEArt. 3«§ 1. I dati personali devono essere:[…]b) raccolti per finalità determinate, esplicite e legittime, e

successivamente trattati in modo che il trattamento nonsia incompatibile con tali finalità; un ulterioretrattamento dei dati personali a fini di archiviazione o afini storici o statistici non è considerato incompatibilecon le finalità iniziali;

c) adeguati, pertinenti e non eccedenti rispetto alle finalitàper le quali sono trattati»

Art. 5«I dati personali sono:[…]b) raccolti per finalità determinate, esplicite e legittime, e

successivamente trattati in modo che non siaincompatibile con tali finalità; un ulteriore trattamentodei dati personali a fini di archiviazione nel pubblicointeresse, di ricerca scientifica o storica o a fini statisticinon è, conformemente all’articolo 89, paragrafo 1,considerato incompatibile con le finalità iniziali(limitazione della finalità);

c) adeguati, pertinenti e limitati a quanto necessariorispetto alle finalità per le quali sono trattati(minimizzazione dei dati)»

95


Per questo motivo il format di Informativa predisposto dall’Osservatorio Giuridico LegislativoNazionale «frammenta» il Consenso in diverse ipotesi al fine di consentire all’Interessato dipoter scegliere quali trattamenti autorizzare/non autorizzare:


Acconsento a che i miei dati siano inseriti nei registri, negli archivi, negli elenchi e schedaridella parrocchia

Acconsento a che i miei dati non “riservati” siano inseriti negli annuari, bollettini e notiziariredatti dalla parrocchia e da enti o organismi alla stessa collegati

Acconsento a che i miei dati non “riservati” siano pubblicati sul sito della parrocchia e di entio organismi alla stessa collegati

Acconsento a che i miei dati non “riservati” siano comunicati ad altre persone ed enti dellaChiesa cattolica ovvero alla stessa aderenti

Acconsento a che i miei dati “non riservati” siano trattati per le attività connesse allarealizzazione di eventi

Data __________________ Firma ____________________________________________

96


Dunque, l’Interessato deve «poter calibrare» il proprio Consenso informato (che deve esserelibero, per finalità determinate ed esplicite; ed i dati personali cui si riferisce devono essereadeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati).

Pertanto, occorre che le formule riportate in calce ai moduli di raccolta dei dati (che includonoanche l’Informativa) siano adeguatamente articolate/distinte in riferimento a diverse tipologiedi trattamento.

Un esempio:


1. Acconsento – Non Acconsento al trattamento dei dati conferiti nella misura necessaria aconsentire la partecipazione alle attività/finalità per cui sono raccolti.[Qualora non sia espresso il consenso per questo trattamento, il Titolare non potrà accogliere la richiesta dell’Interessato dipartecipare/aderire all’attività/iniziativa; qualora, invece, mancassero i successivi consensi l’interessato potrà comunquepartecipare/aderire all’attività/iniziativa]

1. Acconsento – Non Acconsento al trattamento dei dati conferiti affinché siano inseriti inarchivi ed elenchi al fine di permettere al Titolare di contattarmi in occasione dellaorganizzazione di future attività compatibili con quelle di cui al n. 1.

2. Acconsento – Non Acconsento al trattamento dei dati conferiti affinché possano esserepubblicati sulle pagine social e sui bollettini/annuari del Titolare.

3. Acconsento – Non Acconsento al trattamento dei dati conferiti affinché sianocomunicati a terzi (salvo i casi in cui la comunicazione a terzi sia comunque lecita anchesenza Consenso dell’Interessato).

97


L’Avvocatura è l’Ufficio, definito e strutturato secondo quanto determinato dal punto 2.4 della Parte Prima delloStatuto della Curia, di cui è responsabile l’Avvocato generale della Curia. L’Avvocatura appartiene al Settore pergli Affari Generali. L’Avvocatura può avvalersi, di esperti e può promuovere la costituzione di gruppi o dicommissioni di studiosi e di operatori per le materie di competenza. L’Avvocatura opera nei seguenti ambiti dicompetenza:

1.Canonico 2.Ecclesiastico 3. Civile 4. Fiscale e contributivo

A partire dai suddetti ambiti e tenendo conto delle reciproche interdipendenze, l’Avvocatura svolge le funzioniseguenti:

1. Studio del diritto nella sua evoluzione normativa, giurisprudenziale, dottrinale2. Consulenza e assistenza 3. Informazione e formazione 4. Attività autorizzativa e di controllo 5. Elaborazione

della normativa diocesana e sua applicazione

Responsabile:dott. don Lorenzo Simonelli

Avvocato GeneraleCuria di Milano

Indirizzo:Piazza Fontana 2 ‐ 20122 Milano

Telefono: 028556434 – Fax: 02861396Mail: [email protected]

Web: www.chiesadimilano.it/avvocatura

AVVOCATURA della Curia dell’Arcidiocesi di Milano


Presentazione

In occasione del trentesimo anniversario della L. n. 222 del 20maggio 2015, un gruppo studiosi di diritto ecclesiastico haraccolto in un testo l'esperienza e la conoscenza acquisita in moltianni di studio e lavoro attorno ai principali temi relativi all'EnteEcclesiastico Civilmente Riconosciuto.È nato così un libro che, con un linguaggio tecnico e accessibile,presenta la natura e le peculiarità di questo soggetto giuridicotanto presente in Italia (oltre 30.000) e promotore di molteiniziative a favore dell'uomo: dalle essenziali attività di religione odi culto alle tradizionali attività di natura sociale e culturale.

L'Ente Ecclesiastico a trent'anni dalla revisione del Concordato

2015 – GiuffrèPrefazione di S. Em. Card. Pietro Parolin – Segretario di Stato



I destinatari

Il libro è un testo tecnico elaborato avendo presente due categorie didestinatari. Alla prima appartengono gli amministratori degli entiecclesiastici ed i laici che partecipano ai loro consigli, alla seconda imoltissimi professionisti (per es. commercialisti, notai, avvocati,architetti, ragionieri, geometri, consulenti del lavoro, responsabili delservizio di prevenzione e protezione) che assistono tali enti, coloroche rappresentano la pubblica amministrazione (locale, centrale ecomunitaria) e le istituzioni economiche con le quali l’enteecclesiastico è in quotidiano rapporto (per es. banche, assicurazioni,fondazioni di erogazione), soprattutto a motivo delle attività diverseda quelle di religione o di culto.

Gli autori confidano infatti che ciascun lettore possa trovare uneffettivo aiuto per svolgere al meglio il proprio servizio e lavoro abeneficio dell’ente ecclesiastico che partecipa all’offerta di un serviziorealmente benefico per le tantissime persone che quotidianamentegodono delle sue attività diffuse capillarmente in Italia.


101


Autori

Bettetini Prof. Andrea Professore ordinario di diritto canonico edecclesiastico, Università degli studi di Catania eUniversità Cattolica di Milano

Celli Mons. Andrea Direttore Ufficio Giuridico del Vicariato di Roma

Clementi Rag. Patrizia Fiscalista e collaboratrice dell’Avvocatura della Curiadell’Arcidiocesi di Milano

Interguglielmi Mons.Antonio

Vicedirettore Ufficio Amministrativo del Vicariato diRoma

Mistò Mons. Luigi Segretario della Sezione amministrativa dellaSegreteria per l’economia, Città del Vaticano

Pilon Avv. Lorenzo Consulente di diocesi ed istituti religiosi

S. Ecc. Redaelli Mons. Carlo Arcivescovo di Gorizia e Presidente del Consiglio pergli affari giuridici della CEI

Rivella Mons. Mauro Segretario dell’Amministrazione del Patrimonio dellaSede Apostolica, Città del Vaticano

Simonelli Don Lorenzo Avvocato Generale della Curia dell’Arcidiocesi diMilano

Zambon Mons. Adolfo Professore e Vicario giudiziale del TribunaleEcclesiastico Regionale Triveneto



Sommario

• L'amministrazione dei beni nella comunità cristiana: responsabilità della Chiesa e del presbitero ‐ Redaelli S.E. Carlo

• L'ente ecclesiastico. L'origine canonica ‐ Simonelli Lorenzo• L'ente ecclesiastico. Il riconoscimento della personalità civile ‐ Simonelli Lorenzo• L'amministrazione dell'ente ecclesiastico ‐ Simonelli Lorenzo• Gli atti di amministrazione straordinaria. Normativa canonica e rilievi civilistici ‐ Interguglielmi Antonio• L'alienazione dei beni ecclesiastici ed i cosiddetti “atti peggiorativi” ‐ Simonelli Lorenzo• L'amministrazione dei beni ecclesiastici e la vigilanza dell'autorità competente ‐ Simonelli Lorenzo• Gli strumenti della vigilanza canonica ‐ Simonelli Lorenzo• L'alienazione dei beni immobili degli istituti di vita consacrata ‐ Simonelli Lorenzo• Il ruolo dei consigli nell'amministrazione dei beni della chiesa ‐ Zambon Adolfo• Indicazioni per il servizio del consiglio per gli affari economici della parrocchia ‐ Simonelli Lorenzo• L'amministrazione della parrocchia e la questione della perequazione ‐Mistò Luigi• La prevenzione e la gestione delle criticità. Le procedure concorsuali ‐ Celli Andrea• La fiscalità dell'ente ecclesiastico ‐ Clementi Patrizia• Il bilancio preventivo dell'ente ecclesiastico ‐ Simonelli Lorenzo• Le attività dell'ente ecclesiastico a confronto con la normativa civile. Profili problematici ‐ Bettetini Andrea• L'ente ecclesiastico ed il terzo settore ‐ Pilon Lorenzo• Quale futuro per l'ente ecclesiastico? ‐ Rivella Mauro


PresentazioneL’emanazione nel 2005 dell’Istruzione in materia amministrativadella CEI è all’origine di questo testo elaborato dagli Economi e dagliuffici amministrativi di undici diocesi italiane. Anche nel 1994, dopola prima Istruzione in materia amministrativa fu promossal’elaborazione di un testo‐base capace di raccoglieresistematicamente quanto era di interesse per la parrocchia, a partiredal quale hanno fatto seguito differenti edizioni diocesane oregionali. Oggi, invece, si è riusciti a predisporre un'unica edizionenazionale che viene offerta a tutte le parrocchie italiane. Se il dirittocanonico universale e l’Istruzione in materia amministrativa sono lefonti di questo volume, la prassi e l’esperienza degli ufficiamministrativi, nonché la vita concreta delle nostre parrocchie, sonoil crogiolo che ne ha plasmato la struttura interna e i contenuti. Cosìgli Economi delle diocesi di Torino, Milano, Padova, Venezia, Genova,Bologna, Firenze, Roma, Napoli, Bari e Palermo, con un lavoro che liha impegnati per oltre due anni, hanno voluto realizzare un manualecapace di presentare con chiarezza e precisione giuridica le questioniche segnano il quotidiano cammino delle nostre comunitàparrocchiali.

La gestione e l’amministrazione della Parrocchia2008 – EDB Bologna

Il volume è disponibile on line alla pagina www.chiesadimilano.it/avvocatura ed è aggiornato al 25 giugno 2018


I destinatariIl volume si rivolge ai sacerdoti, ma soprattutto ai collaboratoriparrocchiali e ai professionisti. Per il parroco, quale legalerappresentante e amministratore della parrocchia, è unaopportunità per conoscere i profili e gli adempimenti essenziali datenere presenti nell’amministrare la parrocchia. Per i suoicollaboratori – e tra essi i primi sono i membri del Consiglio per gliaffari economici della parrocchia – e per i professionisti(commercialisti, avvocati, ingegneri, geometri, ragionieri, consulentidel lavoro, ecc.) questo volume vuole essere sia un percorso cheintroduce alla conoscenza giuridica di quel particolare (e spessotravisato) soggetto che è la parrocchia, sia uno strumento che confondata autorevolezza indica criteri sicuri con i quali interpretare eapplicare la normativa canonica e civile. Fatta comunque salva lacompetenza riconosciuta al Vescovo diocesano di emanare normeparticolari cui le parrocchie devono attenersi, i contenuti del testo(in primis quelli che trattano della materia tributaria) moltodifficilmente potrebbero essere disattesi senza correre il rischio diaver posto atti illeciti e sanzionabili.

Il volume è disponibile on line alla pagina www.chiesadimilano.it/avvocatura ed è aggiornato al 25 giugno 2018

La gestione e l’amministrazione della Parrocchia2008 – EDB Bologna


L’archivio della rivista è disponibile all’indirizzo

www.chiesadimilano.it/exlegesono scaricabili i numeri completi delle annate arretrate dell’annata in corso è scaricabile il sommario e l’abstract

exLegePresentazioneexLege, quadrimestrale a cura dell’Avvocatura della diocesi di Milano, è una rivista destinata inparticolare ai parroci, ai membri dei consigli per gli affari economici e agli amministratori degli entiecclesiastici, che offre orientamenti e indicazioni precise circa la gestione delle parrocchie e degli altrisoggetti che vi gravitano intorno, con la tranquillità di essere a "norma di legge"exLege nasce alla fine degli anni ’80 in forma di circolari indirizzate alle parrocchie della Diocesi diMilano. A partire dal 1999 diventa una rivista curata dall’Ufficio Avvocatura della diocesi di Milano e siavvale del contributo di esperti. La rivista costituisce per gli enti ecclesiasti e i soggetti non profit unostrumento formativo e informativo in ambito giuridico unico nel suo genere. Dal n. 65 la rivista hacadenza quadrimestrale.FinalitàScopo della rivista è quello di offrire un’adeguata presentazione delle novità normative, affinchél’attività delle parrocchie, degli enti ecclesiastici e degli altri soggetti non profit possa essere “a normadi legge” (di qui la scelta del titolo exLege).A partire dal numero 61 (1/2016) la rivista presta particolare attenzione alla Riforma del Terzo Settore edell’Impresa Sociale, riflettendo in modo specifico sulle questioni relative alla sua applicazione agli entiecclesiastici.DestinatariLa rivista si rivolge agli amministratori degli enti ecclesiastici (parroci, economi, delegati amministrativi,superiori religiosi …), ai membri dei Consigli per gli affari economici che li coadiuvano e ai professionistiche li assistono (commercialisti, avvocati, architetti, geometri, consulenti del lavoro …). Per i temitrattati è anche un utile strumento di aggiornamento normativo per gli enti del Terzo Settore.ContenutiLa disciplina – canonica, ecclesiastica e civile (in primis quella tributaria) – è approfondita ed illustrataavendo cura di garantire per quanto possibile una lettura multidisciplinare e attenta anche ai profilirelativi alla sua concreta applicazione, grazie alla conoscenza che gli autori hanno delle realtà ecclesialinella loro complessità e articolazione.Le Guide operativeAlcune tematiche già trattate in diversi articoli sono riprese in forma monografica nel supplemento Leguide operative con lo scopo di fornirne un quadro completo, sintetico e, soprattutto, pratico‐applicativo, anche pubblicando fac‐simili e modulistica.La rivista on lineLa raccolta delle annate precedenti e tutte Le guide operative possono essere liberamente consultatesul Portale della Diocesi di Milano (www.chiesadimilano.it/exlege). Dell’annata in corso viene offertoinvece un sommario ragionato.


STRUMENTI DI AGGIORNAMENTO

All’indirizzo www.chiesadimilano.it/exlege sono scaricabili tutte le Guide Operativeallegate alla rivista, comprese quelle dell’anno in corso


STRUMENTI DI AGGIORNAMENTO65 Il bar parrocchiale (Patrizia Clementi)

4/16 Il nuovo lavoro accessorio Presto e Libretto Famiglia (Patrizia Clementi)

3/16 Volantini e manifesti (Lorenzo Simonelli)

2/16 Modulistica Parte II Gli immobili (Patrizia Clementi e Maria Elisabetta Mapelli)

1/16 Modulistica Parte I Le attività (Patrizia Clementi Maria Elisabetta Mapelli)

4/15 Il regime forfetario per i lavoratori autonomi (Patrizia Clementi)

3/15 Il bilancio preventivo e i contenuti della “programmazione e controllo” (Marco Ferrari)

2/15 Il lavoro accessorio dopo il Jobs Act (Patrizia Clementi)

1/15 La gestione della scuola per l’infanzia: moduli e format (OGLR)

4/14 Il contratto Sacristi CCNL e Convenzione Diocesana (Lorenzo Simonelli)

3/14 La rivalutazione dei terreni e delle aree edificabili (Patrizia Clementi)

2/14 Il nuovo decreto degli atti di amministrazione straordinaria (Lorenzo Simonelli)

1/14 Il lavoro accessorio. Disciplina e procedure (Patrizia Clementi)

2/13 Associazione in partecipazione (Patrizia Clementi ed E. Mapelli)

1/13 Le raccolte occasionali di fondi (Patrizia Clementi)

2/12 Il nuovo lavoro accessorio (Patrizia Clementi)

1/12 I contribuenti minimi e gli “ex minimi” (Patrizia Clementi)

4/11 Concessione a terzi di spazi parrocchiali Adempimenti fiscali (Patrizia Clementi)

3/11 Concessioni a terzi di spazi parrocchiali Aspetti civilistici (Lorenzo Simonelli)

2/11 Diritti reali, usufrutto, uso e abitazione (Patrizia Clementi e Elisabetta

Mapelli)

1/11 La rivalutazione dei terreni e delle aree edificabili (Patrizia Clementi)

3‐4/10 Detrazione del 55% per le spese di riqualificazione energetica degli edifici (Patrizia Clementi)

1‐2/10 Diritto di superficie (Patrizia Clementi, Marina Dellanoce, Elisabetta Mapellli)

4/09 Lavoro e oratorio estivo (Patrizia Clementi ed Lorenzo Simonelli)

3/09 Le successioni (Patrizia Clementi, Marina Dellanoce, Elisabetta Mapelli)

2/09 La comunicazione dati delle associazioni: “Modello EAS” (Patrizia Clementi)

1/09 Il lavoro accessorio (Patrizia Clementi)

3‐4/08 Il lavoro subordinato (Giancarlo Esposti)

1‐2/08 Il testamento del sacerdote (Lorenzo Simonelli)

4/07 Classificazione delle attività economiche Codici attività ATECO2007 (Patrizia Clementi)

3/07 Manutenzioni sugli immobili: aliquote IVA (Patrizia Clementi)

2/07 Gli enti ecclesiastici e il repertorio economico amministrativo (Lorenzo Simonelli)

1/07 Locazioni particolari (Patrizia Clementi ed Elisabetta Mapelli)

4/06 Contratto di locazione di immobili a uso abitativo e a uso diverso (Patrizia Clementi e Elisabetta Mapelli)

3/06 I contributi pubblici agli enti ecclesiastici (Lorenzo Simonelli)

2/06 Contratto di comodato di immobili (Elisabetta Mapelli)

1/06 Tombole, lotterie, pesche di beneficenza (Patrizia Clementi)

exLegeABBONAMENTI

Per abbonarsi occorre:

1. effettuare il versamento della quota mediante bollettino postale (ccp. 13563226) obonifico bancario (IBAN: IT 50 I 05216 01631 000000046653, Credito Valtellinese,Agenzia 1 di Milano), indicando solo il nominativo di chi effettua il pagamento

2. compilare la scheda “dettaglio indirizzi” indicando colui cui deve essere recapitata larivista

3. inviare la scheda “dettaglio indirizzi”, completa della ricevuta del bollettino postale odel bonifico bancario, a ITL ‐ Servizio Abbonati, fax: 0249665083, oppure mail:[email protected]

Bollettino postale, estremi del bonifico e scheda “dettaglio indirizzi” sono disponibiliall’indirizzo www.chiesadimilano.it/exlege

Quote abbonamentoAnnuale: Italia: € 30,00 ‐ Estero: € 60,00


Il “Consulente Non Profit” è un inserto di Avvenire.

Esce l’ultimo mercoledì di ogni mese (ad esclusione di luglio, agosto e dicembre)

don Lorenzo Simonelli 18‐19 ottobre 2018 Curia ... · I venerdì dell’Avvocatura 2018‐2019...

Documents

Transcript of don Lorenzo Simonelli 18‐19 ottobre 2018 Curia ... · I venerdì dell’Avvocatura 2018‐2019...